Los investigadores de ciberseguridad han revelado detalles de un nuevo cargador de malware llamado Quir贸fano Eso se est谩 utilizando para entregar por correo electr贸nico campa帽as de spam una variedad de cargas 煤tiles de pr贸xima etapa que van desde robos de informaci贸n hasta troyanos de acceso remoto desde noviembre de 2024.
Algunas de las familias de malware notables distribuidas con QuirkyLoader incluyen el Agente Tesla, Asyncrat, Formbook, MassLogger, RemCos Rat, Rhadamanthys Stealer y Snake Keylogger.
IBM X-Force, que detall贸 el malware, dijo que los ataques implican enviar correos electr贸nicos de spam tanto de proveedores de servicios de correo electr贸nico leg铆timos como de un servidor de correo electr贸nico autohostado. Estos correos electr贸nicos cuentan con un archivo malicioso, que contiene una DLL, una carga 煤til cifrada y un ejecutable real.
芦El actor utiliza la carga lateral de DLL, una t茅cnica en la que el lanzamiento del ejecutable leg铆timo tambi茅n carga la DLL maliciosa禄, dijo el investigador de seguridad Raymond Joseph Alfonso. 芦Esta DLL, a su vez, carga, descifra e inyecta la carga 煤til final en su proceso de destino禄.
Esto se logra mediante el uso de Process Hollowing para inyectar el malware en uno de los tres procesos: AddInprocess32.exe, installUtil.exe o aspnet_wp.exe.
El cargador DLL, seg煤n IBM, se ha utilizado en campa帽as limitadas durante los 煤ltimos meses, con dos campa帽as observadas en julio de 2025 dirigidas a Taiw谩n y M茅xico.
Se dice que la campa帽a dirigida a Taiw谩n ha destacado espec铆ficamente a los empleados de Nusoft Taiw谩n, una compa帽铆a de investigaci贸n de seguridad de redes en redes e Internet con sede en New Taipei City, con el objetivo de infectarlos con Keylogger de serpiente, que es capaz de robar informaci贸n confidencial de navegadores web populares, pulsadores y contenido de clima.
La campa帽a relacionada con M茅xico, por otro lado, se eval煤a como aleatoria, con las cadenas de infecci贸n que entregan REMCOS RAT y Asyncrat.
芦El actor de amenaza escribe constantemente el m贸dulo del cargador DLL en lenguajes .NET y utiliza la compilaci贸n de anticipaci贸n (AOT)禄, dijo Alfonso. 芦Este proceso compila el c贸digo en el c贸digo de la m谩quina nativa antes de la ejecuci贸n, lo que hace que el binario resultante aparezca como si estuviera escrito en C o C ++禄.
Nuevas tendencias de phishing
El desarrollo se produce cuando los actores de amenaza est谩n utilizando t谩cticas de phishing de c贸digo QR (tambi茅n conocido como Quishing) como dividir los c贸digos QR maliciosos en dos partes o integrarlos dentro de los leg铆timos en los mensajes de correo electr贸nico propagados a trav茅s de kits de phishing como Gabagaol y el magnate, respectivamente, para evadir la detecci贸n, demostrando la evoluci贸n en curso.
芦Los c贸digos de QR maliciosos son populares entre los atacantes por varias razones禄, dijo el investigador de Barracuda Rohit Suresh Kanase. 芦No pueden ser le铆dos por humanos, as铆 que no levante las banderas rojas, y a menudo pueden evitar medidas de seguridad tradicionales, como filtros de correo electr贸nico y esc谩neres de enlaces禄.
芦Adem谩s, dado que los destinatarios a menudo tienen que cambiar a un dispositivo m贸vil para escanear el c贸digo, puede sacar a los usuarios del per铆metro de seguridad de la empresa y lejos de la protecci贸n禄.
Los hallazgos tambi茅n siguen la aparici贸n de un kit de phishing utilizado por el actor de amenaza de envenenamiento para adquirir credenciales y c贸digos de autenticaci贸n de dos factores (2FA) de individuos y organizaciones para obtener acceso a las cuentas de las v铆ctimas y usarlos para enviar correos electr贸nicos para llevar a cabo estafas de criptomonedas.
芦Los dominios que organizan este kit de phishing son pasar por servicios de inicio de sesi贸n de empresas prominentes de CRM y correo electr贸nico a granel como Google, SendGrid, MailChimp y probablemente otros, dirigidos a las credenciales de las personas禄, dijo Nviso Labs. 芦La intoxicaci贸n emplea correos electr贸nicos de phishing de lanza que integran enlaces maliciosos, que redirigen a las v铆ctimas a su kit de phishing禄.
Un aspecto notable del kit es el uso de una t茅cnica conocida como phishing validado por precisi贸n en el que el atacante valida una direcci贸n de correo electr贸nico en tiempo real en segundo plano, mientras que un desaf铆o de tornas de nubes falsos se sirve para el usuario. Una vez que se aprueban los cheques, aparece un formulario de inicio de sesi贸n que se hace pasar por la plataforma en l铆nea leg铆tima, lo que permite a los actores de amenaza capturar credenciales enviadas y luego transmitirlas al servicio.
