近年来,网络攻击的技巧日益多样化,威胁制造者不断研发新型恶意软件及传播手段,加剧网络安全形势的严峻程度。QuirkyLoader作为一种最新的恶意软件加载器,自2024年11月起开始在全球范围内的垃圾邮件活动中广泛分发,载体多样,涉及的恶意软件覆盖信息窃取器及远程访问木马等多种类别。通过IBM X-Force的深入研究,QuirkyLoader被披露为极具隐蔽性和威胁性的攻击工具,多款著名恶意软件例如Agent Tesla、AsyncRAT、Formbook、Masslogger、Remcos RAT、Rhadamanthys Stealer以及Snake Keylogger均通过该加载器进行传播,极大地威胁着企业及个人的网络安全。攻击者巧妙利用DLL侧加载技术,使得正常的可执行文件在运行时同时加载恶意DLL,恶意DLL则负责解密并注入最终恶意负载到目标进程中,使检测和防范更加复杂。该过程主要针对AddInProcess32.exe、InstallUtil.exe和aspnet_wp.exe三个系统进程运作,通过进程掏空技术实现对目标进程的完全控制。这种方式不仅提高了恶意软件的隐蔽性,也增强了恶意代码的持久性和逃避安全检测的能力。
QuirkyLoader的恶意活动在2025年7月的两次针对台湾和墨西哥的网络攻击中尤为显著。针对台湾的攻击瞄准Nusoft Taiwan的员工,一家专注于网络及互联网安全研究的公司,目的是植入Snake Keylogger恶意软件。该键盘记录器能够窃取受害者在主流浏览器中输入的敏感数据、键击内容和剪贴板信息,给信息安全带来严重威胁。而墨西哥的攻击则偏向随机,传播Remcos RAT和AsyncRAT远程访问木马,进一步揭示攻击者的多元化作战策略。QuirkyLoader的核心模块主要采用.NET语言编写,并应用了预先编译(AOT)技术。通过将代码预先编译成原生机器码,使得生成的二进制文件在结构上类似使用C或C++语言编写的程序,从而绕过一些基于语言特征的安全检测机制。
攻击者的这一技术进步标志着恶意软件开发向高级化和隐蔽化方向发展。除了恶意软件传播,网络攻击者还在钓鱼手法上进行创新,新兴的二维码钓鱼(quishing)成为了新的威胁点。通过将恶意二维码拆分成两部分或隐藏于合法二维码内,攻击者成功避开了传统的邮件过滤和链接扫描,增加了用户的误判概率。二维码本身无法被肉眼直接识别,加之扫描行为需移动设备完成,使用户脱离了企业安全体系的直接监控和防护范围。此外,紧随钓鱼战术变革的是PoisonSeed攻击组织发布的钓鱼工具包,其能够捕获个人及组织的登录凭据和双因素认证代码,进一步扩大攻击面。该钓鱼工具包伪装成谷歌、SendGrid、Mailchimp等主流CRM及邮件服务商的登录页面,精准实施鱼叉式钓鱼,大大提升了攻击的成功率。
其采用的精准验证钓鱼技术通过实时校验电子邮件地址,配合虚假的Cloudflare Turnstile挑战,诱导用户提交信息,从而实施数据窃取。面对QuirkyLoader及其携带的多种恶意软件,安全防护措施需要不断更新与完善。首先,加强对可疑电子邮件附件和压缩包的严密检测尤为关键,尤其是对包含DLL文件和加密负载的邮件需重点关注。其次,利用先进的行为分析工具监控系统进程异常,尤其是涉及AddInProcess32.exe、InstallUtil.exe和aspnet_wp.exe等敏感进程的操作,有助于发现潜在的恶意行为。此外,强化员工的安全意识培训,通过模拟钓鱼测试、二维码识别教育等手段,提高整体防范水平。企业应部署多层次安全防护架构,融合端点检测与响应(EDR)、邮件安全网关、威胁情报及持续监控系统,共同阻断攻击链路。
针对钓鱼新趋势,企业应加强对移动端扫码行为的管控,应用多因素认证、零信任访问等安全策略,以缩小安全盲区。近年来,网络安全威胁层出不穷,攻击者在技术手段和社会工程学方面不断突破,给传统防御体系带来巨大挑战。QuirkyLoader的出现凸显了恶意软件加载器正朝向更加智能化和隐秘化发展,安全界需持续关注此类威胁演变态势。企业和机构必须与时俱进,整合先进技术和策略,构筑坚固的安全防线,实现敏捷应对快速变化的网络攻击环境。只有协同合作,强化安全基础,才能有效防范载具复杂多变、传播快速的恶意载荷,保障数字资产及业务连续性安全。随着2025年网络横扫的QuirkyLoader恶意软件曝光,全球安全行业正加大对其研究力度,期望提早识别和阻断类似攻击,为广大用户营造一个更加安全可靠的数字空间。
。
