Исследовательская группа IBM X-Force зафиксировала появление новой угрозы — загрузчика QuirkyLoader, который с конца 2024 года используется киберпреступниками для массовой доставки вредоносных программ. Этот инструмент уже активно применяется в реальных атаках, охватывающих широкий спектр малвари — от кейлоггеров до RAT.
По информации IBM, через QuirkyLoader распространяются следующие известные угрозы: Agent Tesla, AsyncRAT, FormBook, MassLogger, Remcos RAT, Rhadamanthys Stealer и Snake Keylogger. Основной канал доставки — электронная почта. Жертве отправляется архив, содержащий сразу три элемента: легитимный исполняемый файл, вредоносную DLL-библиотеку и зашифрованную полезную нагрузку.
Атака построена на технике DLL side-loading — запуск доверенного приложения приводит к подгрузке вредоносной библиотеки, которая расшифровывает и внедряет вредоносный код в рабочий процесс. В целях маскировки злоумышленники используют процессы, которые часто встречаются в Windows: AddInProcess32.exe, InstallUtil.exe или aspnet_wp.exe.
Особенность загрузчика — компиляция полезной нагрузки Ahead-of-Time, что позволяет ей выглядеть как бинарь, написанный на C или C++. При этом модуль на самом деле реализован на .NET. Для расшифровки содержимого используется блоковый шифр Speck-128 в режиме CTR, что необычно для массовой малвари.
В июле 2025 года было зафиксировано два масштабных эпизода. В одном из них целью стали сотрудники Nusoft Taiwan. Им отправляли вредонос, маскирующийся под документы, который в конечном итоге устанавливал Snake Keylogger. Этот шпион собирает данные из браузеров, регистрирует нажатия клавиш и копирует содержимое буфера обмена. Вторая волна затронула пользователей в Мексике — там конечной нагрузкой выступали Remcos RAT и AsyncRAT.