QuirkyLoader マルウェア
サイバーセキュリティ研究者は、2024年11月以降、スパムメールキャンペーンで積極的に活用されているQuirkyLoaderと呼ばれる新しいマルウェアローダーを発見しました。その主な役割は、情報窃取プログラムやリモートアクセス型トロイの木馬(RAT)など、さまざまな悪意のあるペイロードを配信することです。
目次
マルウェアの増大
QuirkyLoader は、次のようないくつかの有名なマルウェア ファミリの配布に関連付けられています。
- エージェント・テスラ
- アシンクRAT
- フォームブック
- マスロガー
- レムコスRAT
- ラダマンティス・スティーラー
- スネークキーロガー
この幅広いツールキットは、ローダーの適応性と脅威アクターが多様なサイバー攻撃を開始する能力を強調しています。
スパムメールによる欺瞞的な配信
攻撃者は、正規のメールサービスプロバイダーと自社ホスティングのメールサーバーの両方を利用して、悪意のあるスパムを配信しています。各メールには通常、以下の3つの重要なコンポーネントを含むアーカイブファイルが含まれています。
- 悪意のあるDLL
- 暗号化されたペイロード
- 正当な実行ファイル
DLLサイドローディングを通じて、攻撃者は正規の実行ファイルを実行すると悪意のあるDLLも実行されるという性質を悪用します。そして、このDLLは最終的なペイロードを復号し、標的のプロセスに挿入します。
プロセス空洞化の悪用
インジェクションのメカニズムには、マルウェアが正規のプロセスのコードを自身のコードに置き換えるプロセスホローイング(プロセス・ホローイング)が用いられます。QuirkyLoaderの攻撃では、インジェクションに好んで使用されるプロセスは以下のとおりです。
- AddInProcess32.exe
- インストールユーティリティ.exe
- aspnet_wp.exe
この方法により、マルウェアは正当な活動を装うことができ、検出がはるかに困難になります。
台湾とメキシコでの標的型攻撃
QuirkyLoaderはこれまで、小規模かつ集中的なキャンペーンで観測されてきました。2025年7月には、注目すべき2つの波が記録されました。
台湾キャンペーン:サイバーセキュリティおよびネットワークセキュリティ企業であるNusoft Taiwanの従業員を特に標的としました。この作戦は、ブラウザデータ、キー入力、クリップボードの内容を盗み出すために設計されたSnakeキーロガーの展開を目的としていました。
メキシコ キャンペーン: 本質的にはより無差別であるように思われ、明確な標的パターンなしに Remcos RAT と AsyncRAT を配布しています。
ローダーの技術的特徴
脅威アクターは、DLLローダーモジュールを一貫して.NET言語を用いて開発しています。耐性と難読化を高めるため、ローダーは事前コンパイル(AOT)を用いてコンパイルされ、CまたはC++で作成されたバイナリに類似したバイナリが生成されます。これにより、防御側によるマルウェアの分析と検出が困難になります。
最後に
QuirkyLoaderは、サイバー犯罪者がステルス性と効率性を最大限に高めるために、配信手法を洗練させ続けていることを如実に示す例です。DLLサイドローディング、プロセスホロウイング、標的型フィッシング戦略を組み合わせることで、攻撃者は防御策を回避するだけでなく、攻撃効果を最大化するためにキャンペーンをカスタマイズしています。組織は、不審なメール添付ファイルに対して常に警戒を怠らず、このような脅威への露出を減らすために多層的なセキュリティ対策を実装する必要があります。
