Malware QuirkyLoader
Investigadores de ciberseguridad han descubierto un nuevo cargador de malware conocido como QuirkyLoader, que se ha utilizado activamente en campañas de correo electrónico no deseado desde noviembre de 2024. Su función principal es distribuir una amplia gama de cargas útiles maliciosas, incluidos ladrones de información y troyanos de acceso remoto (RAT).
Tabla de contenido
Un arsenal creciente de malware
QuirkyLoader se ha vinculado a la distribución de varias familias de malware de alto perfil, entre las que se incluyen:
- Agente Tesla
- AsyncRAT
- Libro de formularios
- Registrador de masas
- Remcos RAT
- Ladrón de Rhadamanthys
- Registrador de teclas Snake
Este amplio conjunto de herramientas resalta la adaptabilidad del cargador y la capacidad del actor de amenazas para lanzar diversos ciberataques.
Entrega engañosa a través de correos electrónicos no deseados
Los atacantes utilizan tanto proveedores de servicios de correo electrónico legítimos como un servidor de correo electrónico propio para enviar spam malicioso. Cada correo electrónico suele contener un archivo comprimido con tres componentes críticos:
- Una DLL maliciosa
- Una carga útil cifrada
- Un ejecutable legítimo
Mediante la carga lateral de DLL, los atacantes aprovechan que la ejecución del ejecutable legítimo también activa la DLL maliciosa. Esta DLL descifra e inyecta la carga útil final en el proceso objetivo.
Explotación del proceso de vaciado
El mecanismo de inyección implica el vaciado de procesos, una técnica en la que el malware reemplaza el código de un proceso legítimo con el suyo propio. En las campañas de QuirkyLoader, los procesos de inyección preferidos incluyen:
- AddInProcess32.exe
- InstallUtil.exe
- aspnet_wp.exe
Este método permite que el malware se haga pasar por actividad legítima, lo que hace que su detección sea mucho más difícil.
Ataques selectivos en Taiwán y México
Hasta ahora, QuirkyLoader se ha observado en campañas más pequeñas y específicas. Se registraron dos oleadas destacadas en julio de 2025:
Campaña en Taiwán : Se dirigió específicamente a los empleados de Nusoft Taiwán, empresa de ciberseguridad y seguridad de redes. La operación tenía como objetivo implementar Snake Keylogger, diseñado para extraer datos del navegador, pulsaciones de teclas y contenido del portapapeles.
Campaña de México : Parecía tener una naturaleza más indiscriminada y distribuía Remcos RAT y AsyncRAT sin patrones de orientación claros.
Características técnicas del cargador
El actor de amenazas desarrolla constantemente el módulo de carga de DLL con lenguajes .NET. Para aumentar la resiliencia y la ofuscación, el cargador se compila mediante compilación anticipada (AOT), lo que produce binarios similares a los creados en C o C++. Esto dificulta el análisis y la detección del malware por parte de los defensores.
Reflexiones finales
QuirkyLoader es un claro ejemplo de cómo los ciberdelincuentes siguen perfeccionando sus métodos de entrega para maximizar el sigilo y la eficiencia. Al combinar la carga lateral de DLL, el vaciado de procesos y las estrategias de phishing dirigido, los atacantes no solo eluden las defensas, sino que también adaptan sus campañas para maximizar su impacto. Las organizaciones deben mantenerse alertas ante los archivos adjuntos sospechosos en correos electrónicos e implementar defensas de seguridad por capas para reducir la exposición a estas amenazas.
