Logiciel malveillant QuirkyLoader
Des chercheurs en cybersécurité ont découvert un nouveau chargeur de logiciels malveillants connu sous le nom de QuirkyLoader, qui est activement utilisé dans les campagnes de courrier indésirable depuis novembre 2024. Son rôle principal est de fournir une large gamme de charges utiles malveillantes, notamment des voleurs d'informations et des chevaux de Troie d'accès à distance (RAT).
Table des matières
Un arsenal croissant de logiciels malveillants
QuirkyLoader a été lié à la distribution de plusieurs familles de logiciels malveillants très médiatisés, notamment :
- Agent Tesla
- AsyncRAT
- Cahier de formulaires
- Enregistreur de masse
- Remcos RAT
- Voleur de Rhadamanthe
- Enregistreur de frappe Snake
Cette vaste boîte à outils met en évidence l’adaptabilité du chargeur et la capacité de l’acteur de la menace à lancer diverses cyberattaques.
Livraison trompeuse par courrier électronique indésirable
Les attaquants s'appuient à la fois sur des fournisseurs de messagerie légitimes et sur un serveur de messagerie hébergé par leurs soins pour diffuser du spam malveillant. Chaque e-mail contient généralement un fichier d'archive contenant trois éléments essentiels :
- Une DLL malveillante
- Une charge utile cryptée
- Un exécutable légitime
Grâce au chargement latéral de DLL, les attaquants exploitent le fait que l'exécution de l'exécutable légitime déclenche également la DLL malveillante. Cette DLL déchiffre ensuite et injecte la charge utile finale dans le processus cible.
Exploiter le creusement du processus
Le mécanisme d'injection repose sur le « process hollowing », une technique par laquelle un logiciel malveillant remplace le code d'un processus légitime par le sien. Dans les campagnes de QuirkyLoader, les processus d'injection privilégiés sont :
- AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
Cette méthode permet au logiciel malveillant de se faire passer pour une activité légitime, ce qui rend la détection beaucoup plus difficile.
Attaques ciblées à Taïwan et au Mexique
Jusqu'à présent, QuirkyLoader a été observé dans le cadre de campagnes plus petites et ciblées. Deux vagues notables ont été enregistrées en juillet 2025 :
Campagne de Taïwan : L'opération visait spécifiquement les employés de Nusoft Taiwan, une entreprise de cybersécurité et de sécurité réseau. Elle visait à déployer Snake Keylogger, conçu pour exfiltrer les données du navigateur, les frappes au clavier et le contenu du presse-papiers.
Campagne du Mexique : Elle semble être de nature plus indiscriminée, distribuant Remcos RAT et AsyncRAT sans modèles de ciblage clairs.
Caractéristiques techniques du chargeur
L'acteur malveillant développe systématiquement le module de chargement de DLL en langage .NET. Pour accroître la résilience et l'obfuscation, le chargeur est compilé par anticipation (AOT), produisant des binaires similaires à ceux créés en C ou C++. Cela rend le malware plus difficile à analyser et à détecter pour les défenseurs.
Réflexions finales
QuirkyLoader illustre parfaitement la manière dont les cybercriminels perfectionnent continuellement leurs méthodes de diffusion pour maximiser leur discrétion et leur efficacité. En combinant le chargement latéral de DLL, le détournement de processus et les stratégies d'hameçonnage ciblé, les attaquants contournent non seulement les défenses, mais adaptent également leurs campagnes pour maximiser leur impact. Les entreprises doivent rester vigilantes face aux pièces jointes suspectes et mettre en œuvre des défenses de sécurité multicouches pour réduire leur exposition à ces menaces.
