كشف باحثون في مجال الأمن السيبراني عن برمجية خبيثة جديدة تحمل اسم QuirkyLoader، تُستخدم في حملات بريد عشوائي منذ نوفمبر 2024 لنشر مجموعة واسعة من البرمجيات الضارة، تتنوع بين أدوات سرقة البيانات وأحصنة طروادة للتحكم عن بُعد.
برمجيات خبيثة يتم توزيعها عبر QuirkyLoader
وفقًا لتقرير IBM X-Force، فقد استُخدم QuirkyLoader في نشر عائلات خبيثة بارزة مثل:
-
Agent Tesla
-
AsyncRAT
-
Formbook
-
Masslogger
-
Remcos RAT
-
Rhadamanthys Stealer
-
Snake Keylogger
تعتمد الهجمات على إرسال رسائل بريد إلكتروني مزيفة، بعضها مصدره مزودو خدمات بريد شرعيون وأخرى عبر خوادم بريد مستضافة ذاتيًا. وتحتوي هذه الرسائل على ملف أرشيف خبيث يضم مكتبة DLL وملف حمولة مشفرة وتنفيذًا شرعيًا.
آلية عمل QuirkyLoader وتقنيات الاختراق
أوضح الباحث ريموند جوزيف ألفونسو أن المهاجمين يستخدمون تقنية DLL side-loading، حيث يؤدي تشغيل الملف التنفيذي الشرعي إلى تحميل مكتبة DLL خبيثة تقوم بفك تشفير الحمولة النهائية وحقنها في العملية المستهدفة. ويجري الحقن عبر أسلوب Process Hollowing داخل عمليات مثل AddInProcess32.exe أو InstallUtil.exe أو aspnet_wp.exe.
وأشار التقرير إلى أن هذه الأداة استُخدمت في حملات محدودة خلال الأشهر الماضية، بينها حملتان في يوليو 2025 استهدفتا تايوان والمكسيك. ففي تايوان استهدفت الحملة موظفي شركة Nusoft Taiwan لأمن الشبكات والإنترنت، بهدف إصابتهم بـ Snake Keylogger لسرقة بيانات حساسة من المتصفحات وضربات المفاتيح والحافظة. أما في المكسيك، فكانت الحملة عشوائية اعتمدت على نشر Remcos RAT وAsyncRAT.
تطور أساليب التصيّد باستخدام رموز QR
تزامن الكشف مع بروز اتجاه جديد في التصيّد الإلكتروني عبر رموز QR (Quishing)، حيث يلجأ المهاجمون إلى تقسيم الرمز الضار لجزأين أو إخفائه داخل رموز شرعية للتمويه. وأكد باحثون من Barracuda أن هذه الطريقة خطيرة لأنها تتجاوز مرشحات البريد وفاحصي الروابط، فضلًا عن أن المستخدمين يضطرون لمسح الرمز عبر الهاتف المحمول خارج بيئة الحماية المؤسسية.
مجموعات تهديد جديدة وتقنيات تصيّد دقيقة
كما رُصد مؤخرًا طقم تصيّد طورته مجموعة تهديد تُعرف باسم PoisonSeed، يهدف إلى سرقة بيانات الدخول وأكواد المصادقة الثنائية (2FA) لاستغلالها في احتيال العملات الرقمية. وأوضح باحثو NVISO Labs أن هذا الطقم ينتحل صفحات تسجيل دخول لخدمات مثل Google وSendGrid وMailchimp.
ويعتمد المهاجمون على أسلوب يُعرف بـ التصيّد الدقيق المعتمد على التحقق، حيث يُجرى التحقق من البريد الإلكتروني المستهدف في الخلفية بالتزامن مع عرض تحدي وهمي من Cloudflare، ليظهر لاحقًا نموذج دخول مزيف يمكّن المهاجمين من جمع بيانات الاعتماد وإرسالها إلى خوادمهم.
