¿Querías abrir un informe? Aquí tienes QuirkyLoader y un paquete de virus conocidos. Gracias, IBM
QuirkyLoader oculta su veneno bajo una apariencia legítima — y nadie se da cuenta.
Los especialistas de IBM X-Force informaron sobre la aparición de un nuevo cargador llamado QuirkyLoader, que desde finales de 2024 se emplea para distribuir numerosos programas maliciosos conocidos, incluidos Agent Tesla, AsyncRAT, FormBook, MassLogger, Remcos, Rhadamanthys y Snake Keylogger. La propagación se realiza mediante correos electrónicos con archivos comprimidos que contienen un ejecutable legítimo, un módulo cifrado y una biblioteca maliciosa. El ataque se basa en la técnica de DLL side-loading: al iniciarse la aplicación legítima se carga una biblioteca falsificada que descifra e inyecta el código malicioso final.
Según las observaciones de IBM X-Force, el módulo malicioso está escrito en .NET pero compilado Ahead-of-Time (AOT), lo que le permite hacerse pasar por un binario en C o C++. Para cargar la payload, los atacantes utilizan las API de Win32 CreateFileW y ReadFile, tras lo cual descifran el búfer. En una de las variantes se empleó un cifrado por bloques poco habitual en el malware, Speck-128 en modo CTR, donde para generar el flujo de claves se usan operaciones de suma, rotación cíclica y XOR.
La etapa final es el process hollowing. El cargador crea un proceso en estado suspendido, libera su memoria con ZwUnmapViewOfSection, escribe el código malicioso mediante ZwWriteVirtualMemory y lo ejecuta con ResumeThread después de establecer el contexto necesario. Para ello QuirkyLoader resuelve dinámicamente funciones de la API, lo que dificulta su detección. Los procesos víctimas típicos son AddInProcess32.exe, InstallUtil.exe y aspnet_wp.exe.
En julio de 2025 se registraron dos campañas: en Taiwán los ataques iban dirigidos a empleados de la empresa Nusoft Taiwan y llevaron a la instalación de Snake Keylogger, mientras que en México las infecciones fueron masivas y terminaron con la instalación de Remcos RAT y AsyncRAT. El análisis de la infraestructura mostró el uso del dominio catherinereynolds[.]info, vinculado a varias direcciones IP y a certificados SSL que apuntan a una misma pertenencia.
QuirkyLoader demuestra un alto nivel de desarrollo: el uso de compilación AOT, métodos de cifrado poco comunes y una carga flexible de API lo convierten en un actor notable entre los cargadores modernos. Las recomendaciones principales incluyen bloquear correos con archivos ejecutables, no abrir adjuntos inesperados, mantener actualizados los sistemas de protección y monitorizar el tráfico saliente, ya que los módulos finales en la mayoría de los casos recaban datos y abren acceso remoto.
¿Estás cansado de que Internet sepa todo sobre ti?