QuirkyLoader-Malware
Cybersicherheitsforscher haben einen neuen Malware-Loader namens QuirkyLoader entdeckt, der seit November 2024 aktiv in Spam-E-Mail-Kampagnen eingesetzt wird. Seine Hauptaufgabe besteht darin, eine breite Palette bösartiger Nutzdaten zu übermitteln, darunter Informationsdiebe und Remote-Access-Trojaner (RATs).
Inhaltsverzeichnis
Ein wachsendes Arsenal an Malware
QuirkyLoader wurde mit der Verbreitung mehrerer bekannter Malware-Familien in Verbindung gebracht, darunter:
- Agent Tesla
- AsyncRAT
- Formbuch
- Masslogger
- Remcos RAT
- Rhadamanthys-Dieb
- Snake Keylogger
Dieses umfassende Toolkit unterstreicht die Anpassungsfähigkeit des Loaders und die Fähigkeit des Bedrohungsakteurs, verschiedene Cyberangriffe zu starten.
Irreführende Zustellung durch Spam-E-Mails
Angreifer nutzen sowohl legitime E-Mail-Dienstanbieter als auch selbst gehostete E-Mail-Server, um schädlichen Spam zu versenden. Jede E-Mail enthält typischerweise eine Archivdatei mit drei kritischen Komponenten:
- Eine bösartige DLL
- Eine verschlüsselte Nutzlast
- Eine legitime ausführbare Datei
Durch das Sideloading von DLLs nutzen die Angreifer die Tatsache aus, dass die Ausführung der legitimen ausführbaren Datei auch die schädliche DLL auslöst. Diese DLL entschlüsselt dann die endgültige Nutzlast und schleust sie in ihren Zielprozess ein.
Ausnutzung der Prozessaushöhlung
Der Injektionsmechanismus basiert auf Process Hollowing, einer Technik, bei der Malware den Code eines legitimen Prozesses durch ihren eigenen ersetzt. In den Kampagnen von QuirkyLoader werden unter anderem folgende Prozesse für die Injektion bevorzugt:
- AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
Mit dieser Methode kann sich die Malware als legitime Aktivität tarnen, was die Erkennung erheblich erschwert.
Gezielte Angriffe in Taiwan und Mexiko
QuirkyLoader wurde bisher in kleineren, fokussierten Kampagnen beobachtet. Im Juli 2025 wurden zwei bemerkenswerte Wellen verzeichnet:
Taiwan-Kampagne : Ziel der Operation waren insbesondere Mitarbeiter von Nusoft Taiwan, einem Unternehmen für Cyber- und Netzwerksicherheit. Ziel der Operation war der Einsatz des Snake Keyloggers, der Browserdaten, Tastatureingaben und Inhalte der Zwischenablage exfiltriert.
Kampagne in Mexiko : Sie schien wahlloser zu sein und verteilte Remcos RAT und AsyncRAT ohne klare Zielmuster.
Technische Eigenschaften des Laders
Der Bedrohungsakteur entwickelt das DLL-Loader-Modul konsequent in .NET-Sprachen. Um die Widerstandsfähigkeit und Verschleierung zu erhöhen, wird der Loader mithilfe der Ahead-of-Time-Kompilierung (AOT) kompiliert. Dadurch entstehen Binärdateien, die denen in C oder C++ ähneln. Dies erschwert es Verteidigern, die Malware zu analysieren und zu erkennen.
Abschließende Gedanken
QuirkyLoader ist ein klares Beispiel dafür, wie Cyberkriminelle ihre Verbreitungsmethoden ständig verfeinern, um Tarnung und Effizienz zu maximieren. Durch die Kombination von DLL-Sideloading, Process Hollowing und gezielten Phishing-Strategien umgehen Angreifer nicht nur Abwehrmechanismen, sondern optimieren ihre Kampagnen auch gezielt, um ihre Wirkung zu maximieren. Unternehmen sollten wachsam gegenüber verdächtigen E-Mail-Anhängen bleiben und mehrschichtige Sicherheitsmaßnahmen implementieren, um das Risiko solcher Bedrohungen zu verringern.
