Pesquisadores de cibersegurança divulgaram detalhes de um novo carregador de malware denominado QuirkyLoader, que vem sendo utilizado para entregar, via campanhas de spam por e-mail, uma variedade de payloads úteis de próxima fase, que vão desde ladrões de informações até trojans de acesso remoto desde novembro de 2024.
Algumas das famílias de malware notáveis distribuídas utilizando o QuirkyLoader incluem o Agent Tesla, AsyncRAT, Formbook, Masslogger, Remcos RAT, Rhadamanthys Stealer e o Snake Keylogger.
O IBM X-Force, que detalhou o malware, afirmou que os ataques envolvem o envio de e-mails spam de provedores de e-mail legítimos e também de um servidor de e-mail auto-hospedado.
Esses e-mails contêm um arquivo malicioso, que por sua vez inclui um DLL, um payload criptografado e um executável legítimo.
"O ator utiliza o carregamento lateral de DLL, uma técnica em que a inicialização do executável legítimo também carrega o DLL malicioso," disse o pesquisador de segurança Raymond Joseph Alfonso.
"Este DLL, por sua vez, carrega, descriptografa e injeta o payload final em seu processo alvo."
Isso é alcançado usando o esvaziamento de processo para injetar o malware em um dos três processos: AddInProcess32.exe, InstallUtil.exe ou aspnet_wp.exe.
O carregador de DLL, segundo a IBM, foi usado em campanhas limitadas nos últimos meses, com duas campanhas observadas em julho de 2025 mirando Taiwan e México.
A campanha direcionada a Taiwan aparentemente teve como objetivo específico os funcionários da Nusoft Taiwan, uma empresa de pesquisa de segurança de rede e internet com sede em Nova Taipé, com o objetivo de infectá-los com o Snake Keylogger, capaz de roubar informações sensíveis de navegadores web populares, teclas digitadas e conteúdo da área de transferência.
A campanha relacionada ao México, por outro lado, é avaliada como aleatória, com as cadeias de infecção entregando Remcos RAT e AsyncRAT.
"O ator da ameaça escreve consistentemente o módulo carregador de DLL em linguagens .NET e utiliza compilação antecipada (AOT)," disse Alfonso.
"Este processo compila o código em código de máquina nativo antes da execução, fazendo com que o binário resultante pareça ter sido escrito em C ou C++."
Novas Tendências de Phishing
O desenvolvimento ocorre enquanto os atores de ameaças utilizam novas táticas de phishing com códigos QR (conhecido como quishing), como dividir códigos QR maliciosos em duas partes ou embutí-los em legítimos em mensagens de e-mail propagadas via kits de phishing como Gabagool e Tycoon, respectivamente, para evitar detecção, demonstrando evolução contínua.
"Códigos QR maliciosos são populares entre os atacantes por várias razões," disse o pesquisador da Barracuda, Rohit Suresh Kanase.
"Eles não podem ser lidos por humanos, então não levantam suspeitas, e podem frequentemente contornar medidas de segurança tradicionais como filtros de e-mail e scanners de links."
Além disso, visto que os destinatários frequentemente precisam trocar para um dispositivo móvel para escanear o código, isso pode tirar os usuários do perímetro de segurança da empresa e longe da proteção.
Os achados também seguem a emergência de um kit de phishing usado pelo ator de ameaça PoisonSeed para adquirir credenciais e códigos de autenticação de dois fatores (2FA) de indivíduos e organizações, para ganhar acesso às contas das vítimas e usá-las para enviar e-mails realizando golpes com criptomoedas.
"Os domínios hospedando este kit de phishing fingem ser serviços de login de empresas renomadas de CRM e envio de e-mails em massa como Google, SendGrid, Mailchimp, e provavelmente outros, visando as credenciais dos indivíduos," disse a NVISO Labs.
PoisonSeed emprega e-mails de spear-phishing embutindo links maliciosos, que redirecionam as vítimas para o seu kit de phishing.
Um aspecto notável do kit é o uso de uma técnica conhecida como phishing validado com precisão, na qual o atacante valida um endereço de e-mail em tempo real em segundo plano, enquanto um desafio falso do Cloudflare Turnstile é apresentado ao usuário.
Uma vez superadas as verificações, um formulário de login imitando a plataforma online legítima aparece, permitindo que os atores de ameaças capturem credenciais submetidas e depois as transmitam para o serviço.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...