Tin tặc sử dụng QuirkyLoader phát tán Agent Tesla, AsyncRAT và Snake Keylogger

[Starlink]

Các nhà nghiên cứu an ninh mạng đã tiết lộ thông tin chi tiết về một trình tải phần mềm độc hại mới có tên QuirkyLoader đang được sử dụng để phân phối qua các chiến dịch thư rác email một loạt các phần mềm độc hại ở giai đoạn tiếp theo, từ phần mềm đánh cắp thông tin đến trojan truy cập từ xa kể từ tháng 11 năm 2024.

Một số nhóm phần mềm độc hại đáng chú ý được phân phối bằng QuirkyLoader bao gồm Agent Tesla, AsyncRAT, Formbook, Masslogger, Remcos RAT, Rhadamanthys Stealer và Snake Keylogger.

IBM X-Force, đơn vị đã phân tích chi tiết về phần mềm độc hại này, cho biết các cuộc tấn công liên quan đến việc gửi email rác từ cả nhà cung cấp dịch vụ email hợp pháp và máy chủ email tự lưu trữ. Những email này chứa một tệp tin độc hại, bao gồm một tệp DLL, một tệp tin tải trọng được mã hóa và một tệp thực thi thực sự.

"Kẻ tấn công sử dụng kỹ thuật tải DLL phụ, một kỹ thuật mà khi khởi chạy tệp thực thi hợp lệ, nó cũng sẽ tải DLL độc hại", nhà nghiên cứu bảo mật Raymond Joseph Alfonso cho biết. "DLL này sẽ tải, giải mã và chèn payload cuối cùng vào tiến trình mục tiêu."

Điều này đạt được bằng cách sử dụng quy trình rỗng để đưa phần mềm độc hại vào một trong ba quy trình: AddInProcess32.exe, InstallUtil.exe hoặc aspnet_wp.exe.

Theo IBM, trình tải DLL đã được sử dụng trong các chiến dịch hạn chế trong vài tháng qua, với hai chiến dịch được quan sát vào tháng 7 năm 2025 nhắm vào Đài Loan và Mexico.

Chiến dịch nhắm vào Đài Loan được cho là đặc biệt nhắm vào các nhân viên của Nusoft Đài Loan, một công ty nghiên cứu bảo mật mạng và internet có trụ sở tại thành phố Tân Bắc, với mục tiêu lây nhiễm Snake Keylogger cho họ, có khả năng đánh cắp thông tin nhạy cảm từ các trình duyệt web phổ biến, các lần nhấn phím và nội dung trong bảng tạm.

Mặt khác, chiến dịch liên quan đến Mexico được đánh giá là ngẫu nhiên, với chuỗi lây nhiễm phát tán Remcos RAT và AsyncRAT.

"Kẻ tấn công luôn viết mô-đun tải DLL bằng ngôn   Đăng nhập để xem liên kết và sử dụng biên dịch trước thời hạn (AOT)", Alfonso nói. "Quá trình này biên dịch mã thành mã máy gốc trước khi thực thi, khiến tệp nhị phân kết quả trông như thể được viết bằng C hoặc C++."

Xu hướng lừa đảo mới:

Sự phát triển này diễn ra khi các tác nhân đe dọa đang sử dụng các chiến thuật lừa đảo mã QR mới (hay còn gọi là quishing) như chia mã QR độc hại thành hai phần hoặc nhúng chúng vào các mã QR hợp pháp trong tin nhắn email được phát tán thông qua các bộ công cụ lừa đảo như Gabagool và Tycoon để tránh bị phát hiện, cho thấy sự tiến hóa đang diễn ra.

"Mã QR độc hại rất được tin tặc ưa chuộng vì nhiều lý do", nhà nghiên cứu Rohit Suresh Kanase của Barracuda cho biết. "Con người không thể đọc được chúng nên không gây ra bất kỳ dấu hiệu cảnh báo nào, và chúng thường có thể vượt qua các biện pháp bảo mật truyền thống như bộ lọc email và trình quét liên kết."

"Hơn nữa, vì người nhận thường phải chuyển sang thiết bị di động để quét mã nên điều này có thể đưa người dùng ra khỏi phạm vi bảo mật của công ty và không được bảo vệ."

Những phát hiện này cũng theo sau sự xuất hiện của một bộ công cụ lừa đảo được nhóm tin tặc PoisonSeed sử dụng để lấy thông tin đăng nhập và mã xác thực hai yếu tố (2FA) từ các cá nhân và tổ chức để truy cập vào tài khoản của nạn nhân và sử dụng chúng để gửi email nhằm thực hiện các vụ lừa đảo tiền điện tử.

NVISO Labs cho biết : "Các tên miền lưu trữ bộ công cụ lừa đảo này giả mạo dịch vụ đăng nhập từ các công ty CRM và email hàng loạt nổi tiếng như Google, SendGrid, Mailchimp và nhiều công ty khác, nhắm mục tiêu vào thông tin đăng nhập của cá nhân". "PoisonSeed sử dụng email lừa đảo có chứa các liên kết độc hại, chuyển hướng nạn nhân đến bộ công cụ lừa đảo của chúng."

Một khía cạnh đáng chú ý của bộ công cụ này là việc sử dụng một kỹ thuật được gọi là " phishing xác thực độ chính xác", trong đó kẻ tấn công xác thực địa chỉ email theo thời gian thực ở chế độ nền, trong khi người dùng được cung cấp một thử thách giả mạo Cloudflare Turnstile. Sau khi vượt qua các bước kiểm tra, một biểu mẫu đăng nhập giả mạo nền tảng trực tuyến hợp pháp sẽ xuất hiện, cho phép kẻ tấn công chiếm đoạt thông tin đăng nhập đã gửi và sau đó chuyển tiếp chúng đến dịch vụ.