Los investigadores de ciberseguridad han revelado detalles de un nuevo cargador de malware llamado Quirófano Eso se está utilizando para entregar por correo electrónico campañas de spam una variedad de cargas aperos de próxima etapa que van desde robos de información hasta troyanos de entrada remoto desde noviembre de 2024.
Algunas de las familias de malware notables distribuidas con QuirkyLoader incluyen el Agente Tesla, Asyncrat, Formbook, MassLogger, RemCos Rat, Rhadamanthys Stealer y Snake Keylogger.
IBM X-Force, que detalló el malware, dijo que los ataques implican cursar correos electrónicos de spam tanto de proveedores de servicios de correo electrónico legítimos como de un servidor de correo electrónico autohospedado. Estos correos electrónicos cuentan con un archivo pillo, que contiene una DLL, una carga útil cifrada y un ejecutable existente.
«El actor utiliza la carga adjunto de DLL, una técnica en la que el divulgación del ejecutable probado asimismo carga la DLL maliciosa», dijo el investigador de seguridad Raymond Joseph Alfonso. «Esta DLL, a su vez, carga, descifra e inyecta la carga útil final en su proceso de destino».
Esto se logra mediante el uso de Process Hollowing para inyectar el malware en uno de los tres procesos: AddInprocess32.exe, installUtil.exe o aspnet_wp.exe.
El cargador DLL, según IBM, se ha utilizado en campañas limitadas durante los últimos meses, con dos campañas observadas en julio de 2025 dirigidas a Taiwán y México.
Se dice que la campaña dirigida a Taiwán ha destacado específicamente a los empleados de Nusoft Taiwán, una compañía de investigación de seguridad de redes en redes e Internet con sede en New Taipei City, con el objetivo de infectarlos con Keylogger de serpiente, que es capaz de robar información confidencial de navegadores web populares, pulsadores y contenido de clima.
La campaña relacionada con México, por otro banda, se evalúa como aleatoria, con las cadenas de infección que entregan REMCOS RAT y Asyncrat.
«El actor de amenaza escribe constantemente el módulo del cargador DLL en lenguajes .NET y utiliza la compilación de anticipación (AOT)», dijo Alfonso. «Este proceso compila el código en el código de la máquina nativa ayer de la ejecución, lo que hace que el binario resultante aparezca como si estuviera escrito en C o C ++».
Nuevas tendencias de phishing
El explicación se produce cuando los actores de amenaza están utilizando tácticas de phishing de código QR (asimismo conocido como Quishing) como dividir los códigos QR maliciosos en dos partes o integrarlos adentro de los legítimos en los mensajes de correo electrónico propagados a través de kits de phishing como Gabagaol y el magnate, respectivamente, para evitar la detección, demostrando la transformación en curso.
«Los códigos de QR maliciosos son populares entre los atacantes por varias razones», dijo el investigador de Barracuda Rohit Suresh Kanase. «No pueden ser leídos por humanos, así que no naciente las banderas rojas, y a menudo pueden evitar medidas de seguridad tradicionales, como filtros de correo electrónico y escáneres de enlaces».
«Por otra parte, hexaedro que los destinatarios a menudo tienen que cambiar a un dispositivo móvil para escanear el código, puede sacar a los usuarios del perímetro de seguridad de la empresa y acullá de la protección».
Los hallazgos asimismo siguen la aparición de un kit de phishing utilizado por el actor de amenaza de envenenamiento para mercar credenciales y códigos de autenticación de dos factores (2FA) de individuos y organizaciones para obtener entrada a las cuentas de las víctimas y usarlos para cursar correos electrónicos para tolerar a parte estafas de criptomonedas.
«Los dominios que organizan este kit de phishing son ocurrir por servicios de inicio de sesión de empresas prominentes de CRM y correo electrónico a abundante como Google, SendGrid, MailChimp y probablemente otros, dirigidos a las credenciales de las personas», dijo Nviso Labs. «La intoxicación emplea correos electrónicos de phishing de venablo que integran enlaces maliciosos, que redirigen a las víctimas a su kit de phishing».
Un aspecto extraordinario del kit es el uso de una técnica conocida como phishing validado por precisión en el que el atacante valida una dirección de correo electrónico en tiempo existente en segundo plano, mientras que un desafío de tornas de nubes falsos se sirve para el agraciado. Una vez que se aprueban los cheques, aparece un formulario de inicio de sesión que se hace ocurrir por la plataforma en renglón legítima, lo que permite a los actores de amenaza capturar credenciales enviadas y luego transmitirlas al servicio.
