IBM X-Force đã theo dõi mã độc QuirkyLoader, một loại mã độc loader tinh vi được các tác nhân đe dọa triển khai để phân phối nhiều họ mã độc nổi bật như Agent Tesla, AsyncRAT, FormBook, MassLogger, Remcos, Rhadamanthys và Snake Keylogger. Sự xuất hiện của mã độc QuirkyLoader đánh dấu một bước tiến mới trong các mối đe dọa mạng phức tạp, đòi hỏi các tổ chức phải tăng cường cảnh giác.

Tổng quan về mã độc QuirkyLoader và cơ chế lây nhiễm

Cơ chế lây nhiễm đa giai đoạn

Mối đe dọa đa giai đoạn này thường bắt đầu thông qua các email spam, có thể từ các nhà cung cấp dịch vụ hợp pháp hoặc các máy chủ tự lưu trữ. Các email này đính kèm các tệp lưu trữ độc hại chứa ba thành phần chính:

• Một tệp thực thi hợp lệ.
• Một payload được mã hóa, ngụy trang dưới dạng tệp DLL.
• Một DLL loader độc hại.

Kỹ thuật DLL Side-Loading và Process Hollowing

Mã độc QuirkyLoader lợi dụng kỹ thuật DLL side-loading, một phương pháp lừa đảo trong đó một tệp thực thi hợp pháp vô tình tải một DLL độc hại. Quá trình này được mô tả chi tiết, cho phép mã độc hoạt động một cách lén lút, khó bị phát hiện ban đầu do giả mạo các hoạt động bình thường của hệ thống. Để hiểu thêm về cách thức khai thác tiện ích hợp pháp của Microsoft, bạn có thể tham khảo tại đây.

Sau khi DLL độc hại được tải, nó sẽ giải mã và tiêm payload cuối cùng vào các tiến trình hợp pháp thông qua kỹ thuật process hollowing. Các tiến trình mục tiêu thường bao gồm AddInProcess32.exe, InstallUtil.exe hoặc aspnet_wp.exe. Kỹ thuật này đảm bảo việc thực thi lén lút, giúp mã độc né tránh các công cụ phát hiện bằng cách bắt chước các hoạt động lành tính của hệ thống.

Phân tích kỹ thuật chuyên sâu về mã độc QuirkyLoader

Cấu trúc và ngôn ngữ lập trình

Module DLL cốt lõi của mã độc QuirkyLoader được phát triển bằng ngôn ngữ C# .NET và được biên dịch bằng phương pháp ahead-of-time (AOT). Việc này tạo ra mã máy gốc tương tự như các tệp nhị phân được viết bằng C hoặc C++, giúp bỏ qua các phân tích runtime truyền thống của môi trường .NET. Đây là một điểm đáng chú ý, làm cho việc phân tích và phát hiện tấn công trở nên phức tạp hơn đối với các công cụ bảo mật thông thường.

Kỹ thuật mã hóa và giải mã dữ liệu

Loader sử dụng các API Win32 như CreateFileW() và ReadFile() để truy cập payload đã được mã hóa. Sau đó, nó giải mã payload bằng các thuật toán mã hóa khối, bao gồm cả thuật toán Speck-128 ít phổ biến, hoạt động ở chế độ CTR (Counter Mode).

Thuật toán Speck-128 mở rộng khóa chính thành các khóa vòng (round keys) và kết hợp một nonce để tạo ra keystream thông qua các phép toán Add-Rotate-XOR (ARX). Keystream này sau đó được XOR với dữ liệu đã mã hóa theo các khối 16 byte. Việc sử dụng một thuật toán mã hóa không phổ biến như Speck-128 cho thấy sự tinh vi của mã độc QuirkyLoader trong việc che giấu dữ liệu và làm phức tạp quá trình phân tích ngược.

Cơ chế né tránh và tiêm mã độc nâng cao

Để tiếp tục né tránh các công cụ bảo mật, mã độc QuirkyLoader tự động phân giải các API cần thiết cho process hollowing. Các bước thực hiện bao gồm:

• Khởi chạy các tiến trình bị tạm dừng bằng CreateProcessW().
• Hủy ánh xạ bộ nhớ thông qua ZwUnmapViewOfSection().
• Tiêm payload bằng ZwWriteVirtualMemory().
• Tiếp tục thực thi bằng SetThreadContext() và ResumeThread().

Việc sử dụng các API ở cấp độ thấp và kỹ thuật động giúp mã độc QuirkyLoader duy trì khả năng ẩn mình trong hệ thống, gây khó khăn cho việc phát hiện tấn công kịp thời.

Mục tiêu và cơ sở hạ tầng liên quan của mã độc QuirkyLoader

Nạn nhân được nhắm mục tiêu

Phân tích nạn nhân của mã độc QuirkyLoader cho thấy các chiến dịch nhắm mục tiêu cụ thể. Vào tháng 7 năm 2025, các nhân viên của công ty Nusoft tại Đài Loan đã trở thành mục tiêu với mã độc Snake Keylogger. Đồng thời, những người dùng ngẫu nhiên ở Mexico cũng bị nhắm đến với mã độc Remcos và AsyncRAT. Các thông tin này được thu thập bởi IBM X-Force trong phân tích mối đe dọa của họ, chi tiết có thể xem tại phân tích của IBM X-Force.

Chỉ số thỏa hiệp (IOCs)

Cơ sở hạ tầng liên quan đến mã độc QuirkyLoader bao gồm:

• Domain:catherinereynolds[.]info
• Địa chỉ IP liên quan:157.66.225.11 (hosting một client Zimbra)
• Các IP chia sẻ chứng chỉ SSL (mail.catherinereynolds[.]info):103.75.77.90 và 161.248.178.212

Các chỉ số này cho thấy một mạng lưới malspam có tổ chức và liên kết chặt chẽ.

Biện pháp phòng ngừa và phát hiện mã độc QuirkyLoader

Khuyến nghị phòng thủ và tăng cường bảo mật mạng

Để đối phó với các mối đe dọa như mã độc QuirkyLoader, các tổ chức cần áp dụng các biện pháp bảo mật mạng chủ động:

• Chặn các tệp đính kèm có thể thực thi (executable attachments) trong email.
• Kiểm tra kỹ lưỡng các email không được yêu cầu hoặc có dấu hiệu đáng ngờ.
• Duy trì các giải pháp bảo mật luôn được cập nhật phiên bản mới nhất.
• Giám sát lưu lượng truy cập đi (outbound traffic) để phát hiện các bất thường.
• Đặc biệt chú ý giám sát các tiến trình dễ bị process hollowing.

Khi các mối đe dọa mạng ngày càng phát triển, việc triển khai threat intelligence chủ động và liên tục là yếu tố then chốt để chống lại các mã độc loader tinh vi như mã độc QuirkyLoader. Điều này giúp các tổ chức không chỉ phản ứng mà còn dự đoán và ngăn chặn các cuộc tấn công mạng tiềm tàng.