🚀 Не просто читай — прокачивайся! Зарегистрируйся в Kraken Academy и учись на практике: стенды, модули и путь к реальным скиллам.

Новый грузчик для киберподполья возит Tesla, змей и крыс

В мире спам-рассылок пополнение: исследователи IBM X-Force представили QuirkyLoader — свежий малварный «погрузчик», который с конца 2024 года развозит по ящикам пользователей целый зоопарк троянов и стилеров. В ассортименте — Agent Tesla, AsyncRAT, Remcos, Formbook, Masslogger, Rhadamanthys и Snake Keylogger. Если бы это был магазин, то явно в стиле «всё для начинающего киберпреступника».

Схема доставки классическая: письмо с архивом, внутри — легальный exe, DLL и зашифрованный полезный груз. DLL притворяется приличным модулем, а на деле подсовывает зловред в такие процессы, как AddInProcess32.exe, InstallUtil.exe или aspnet_wp.exe. В итоге пользователь думает, что запускает нормальную программу, а на самом деле запускает свой персональный рейс в цифровой ад.

Сами атаки ведутся и через легитимные почтовые сервисы, и через самопальные SMTP-серверы. Две последние заметные кампании прошли этим летом:

  • Тайвань — целили прямо в сотрудников Nusoft Taiwan (компания по безопасности, ирония уровня «сломать антивирусник»). Там грузили Snake Keylogger, чтобы красть пароли, буфер и нажатия клавиш.

  • Мексика — кампания «по принципу винтовки с дробью»: кому повезёт, тот получит Remcos RAT или AsyncRAT.

Интересная деталь: QuirkyLoader пишут на .NET, но компилируют «в натив», чтобы бинарник выглядел как C/C++. Типа «маскировка под взрослого», но суть остаётся той же — троян внутри.

И как будто этого мало, параллельно хакеры активно экспериментируют с QR-фишингом. Да-да, «quishing» в моде: вредоносные QR-коды прячут внутри легальных или даже разбивают их на куски, чтобы обойти фильтры. Пользователь сканирует код с телефона, выходит за корпоративный периметр защиты и — привет, фишинговая страничка.

Актёры вроде PoisonSeed вообще решили изобрести «фишинг с премиум-сервисом». Их набор трюков включает проверку адреса жертвы в реальном времени и подсовывание фейкового Cloudflare-челленджа. Пройди тест — и вот тебе фальшивая форма логина под видом Google или Mailchimp. Введёшь данные — и они уже улетели прямиком к кибервору.

Вывод: QuirkyLoader — это новый Uber для малвари. Заказ сделал злоумышленник, груз прибыл через DLL, а расплачивается всегда пользователь.

Берегите себя и свои нервы.

📘 Понравилась статья?

Больше практики и реальных заданий — в Kraken Academy.
А чтобы точно ничего не пропустить — подпишись на наш Telegram-канал.

Зарегистрироваться Подписаться в Telegram
← Назад к статьям

Рекомендуемые статьи

Обложка

Веб-запросы: что это, как они работают и почему их важно понимать в кибербезопасности

Читать полностью →
Обложка

Базовые принципы кибербезопасности: инструкция для начинающих

Читать полностью →
Обложка

Apple снова затыкает дыру

Читать полностью →