Il panorama della sicurezza informatica continua a evolversi con l’emergere di nuove minacce come QuirkyLoader, un malware loader individuato per la prima volta nel novembre 2024. Questo strumento viene utilizzato dai cybercriminali per diffondere, tramite campagne di spam via email, diverse tipologie di malware tra cui Agent Tesla, AsyncRAT, Formbook, Masslogger, Remcos RAT, Rhadamanthys Stealer e Snake Keylogger. Il funzionamento di QuirkyLoader si basa sull’invio di email malevole, spesso provenienti da provider legittimi o da server email autonomi gestiti dagli attaccanti. Queste email contengono allegati compressi che includono una DLL malevola, un payload cifrato e un eseguibile legittimo.

Il meccanismo chiave sfruttato da QuirkyLoader è il DLL side-loading: eseguendo un file apparentemente innocuo, viene caricata anche una DLL dannosa che provvede a decriptare e iniettare il vero payload malevolo all’interno di processi di sistema come AddInProcess32.exe, InstallUtil.exe o aspnet_wp.exe. Questo permette al malware di eludere diverse soluzioni di sicurezza ed eseguire azioni come il furto di dati sensibili, credenziali o il controllo remoto del dispositivo infetto.

Attacchi mirati e tecniche avanzate

Secondo le analisi di IBM X-Force, QuirkyLoader è stato utilizzato in attacchi mirati, come una campagna rivolta a dipendenti della società Nusoft Taiwan, con l’obiettivo di rubare informazioni tramite Snake Keylogger. Un’altra campagna, invece, ha colpito in modo casuale diversi utenti in Messico, diffondendo vari RAT come Remcos e AsyncRAT. Gli sviluppatori di QuirkyLoader adottano linguaggi .NET e usano la compilazione ahead-of-time (AOT), rendendo i file binari prodotti simili a quelli scritti in C o C++ e quindi più difficili da individuare.

Evoluzione delle tecniche di phishing

Parallelamente, si osserva una crescita delle tecniche di phishing basate su QR code (quishing), che utilizzano codici QR suddivisi in più parti o inseriti in codici legittimi per aggirare i filtri di sicurezza delle email. Questi attacchi spingono le vittime a utilizzare dispositivi mobili, spesso fuori dal perimetro di sicurezza aziendale, incrementando i rischi di compromissione.

Inoltre, nuovi phishing kit come quello usato dal gruppo PoisonSeed permettono agli attaccanti di validare in tempo reale le email delle vittime e aggirare l’autenticazione a due fattori, simulando login di servizi noti come Google, SendGrid o Mailchimp. Queste tecniche evidenziano quanto sia fondamentale mantenere alta l’attenzione sulle minacce emergenti via email e adottare soluzioni di sicurezza avanzate per proteggere utenti e infrastrutture aziendali.