Hackers Using New QuirkyLoader Malware to Spread Agent Tesla, AsyncRAT and Snake Keylogger

Le chargeur QuirkyLoader cible des informations sensibles

Un nouveau logiciel malveillant, QuirkyLoader, est utilisé dans des campagnes de spam par courriel pour distribuer des charges utiles variées, notamment des voleurs d’informations et des chevaux de Troie d’accès à distance. Depuis novembre 2024, il a été observé qu’il livrait des familles de malwares telles qu’Agent Tesla, AsyncRAT, Formbook, Masslogger, Remcos RAT, Rhadamanthys Stealer et Snake Keylogger.

Les attaques impliquent l’envoi d’e-mails de spam contenant une archive malveillante. Celle-ci comprend un fichier DLL, une charge utile chiffrée et un exécutable légitime. Les attaquants exploitent la technique du “DLL side-loading” : le lancement de l’exécutable légitime charge également la DLL malveillante. Cette dernière déchiffre et injecte la charge utile finale dans un processus cible, souvent en utilisant la technique de l’“owl de processus” pour s’injecter dans AddInProcess32.exe, InstallUtil.exe ou aspnet_wp.exe.

Le développement du chargeur, écrit en .NET et compilé en avance (AOT), vise à le faire ressembler à du code C ou C++. Des campagnes spécifiques ont été observées ciblant Taïwan et le Mexique. La campagne taïwanaise visait les employés de Nusoft Taiwan pour infecter avec Snake Keylogger, capable de voler des informations de navigateurs, des frappes au clavier et le contenu du presse-papiers. La campagne mexicaine, plus aléatoire, a distribué Remcos RAT et AsyncRAT.

Parallèlement à cela, les acteurs malveillants évoluent dans leurs tactiques de phishing, notamment avec le “quishing” (phishing par QR code). Des QR codes malveillants sont segmentés ou intégrés dans des codes légitimes pour échapper aux détections via des kits comme Gabagool et Tycoon. Ces QR codes, illisibles par l’humain, contournent les filtres d’e-mail et les scanners de liens, et peuvent inciter les utilisateurs à quitter le périmètre de sécurité de leur entreprise en passant par des appareils mobiles. Un autre kit de phishing, utilisé par l’acteur PoisonSeed, vise à obtenir des identifiants et des codes d’authentification à deux facteurs en se faisant passer pour des services de CRM et d’e-mailing, utilisant des techniques de validation d’e-mail en temps réel et de faux défis Cloudflare pour capturer les données.

Points clés :

• Découverte d’un nouveau chargeur de malware, QuirkyLoader.
• Distribution via des campagnes de spam par e-mail.
• Ciblage de voleurs d’informations et de RAT (chevaux de Troie d’accès à distance).
• Utilisation de techniques comme le DLL side-loading et l’owl de processus.
• Apparition de nouvelles tendances de phishing, notamment le quishing et l’utilisation de kits de phishing avancés.

Vulnérabilités exploitées :

• DLL side-loading (mécanisme de chargement de DLL).
• Owl de processus (technique d’injection de code).
• Techniques de contournement des protections traditionnelles par le quishing.
• Vol d’identifiants et de codes 2FA via des kits de phishing sophistiqués.
• Absence de CVE spécifiée dans l’article pour ces vulnérabilités.

Recommandations :

• Prudence accrue face aux e-mails de spam et aux pièces jointes suspectes.
• Vigilance concernant les QR codes dans les communications par e-mail.
• Mise à jour régulière des logiciels de sécurité et des systèmes d’exploitation.
• Sensibilisation des utilisateurs aux techniques de phishing et d’ingénierie sociale.
• Mise en place de solutions de sécurité de messagerie robustes.

Source