關閉選單
  1. Home
  2. NEWS最新消息
  3. 訊息與報導
  4. 資訊安全
顯示分類
2025.08.22
訊息與報導/資訊安全
駭客利用新型 QuirkyLoader 惡意軟體載入器傳播散播惡意軟體
報導摘要

根據知名網路安全研究機構 IBM X-Force 的最新報告,一種名為 QuirkyLoader 的新型惡意軟體自 2024 年 11 月以來,已成為駭客用來發動電子郵件垃圾郵件攻擊的主要工具。這種惡意軟體的載入程式(loader)被用來在目標系統上分發各種惡意酬載,其中包括 Agent Tesla、AsyncRAT 和 Snake Keylogger 等知名遠端存取木馬(RAT)和鍵盤側錄程式。QuirkyLoader 的出現標誌著網路威脅形勢的又一次演變,其複雜的攻擊鏈和技術手法,對企業及個人使用者構成了嚴峻的挑戰。


QuirkyLoader 的技術解析與攻擊手法

QuirkyLoader 的攻擊流程始於一封精心設計的垃圾電子郵件,郵件中包含一個惡意壓縮檔。當收件人解壓縮並執行其中的檔案後,駭客利用了一種稱為「DLL 側載(DLL side-loading)」的技巧來啟動惡意行為。這種攻擊手法利用了某些合法應用程式在啟動時會載入特定 DLL 檔案的特性。駭客將一個惡意的 DLL 檔案與一個合法的可執行檔(.exe)放在一起,當使用者啟動這個合法程式時,它會優先載入同目錄下的惡意 DLL,而非系統預設路徑中的合法 DLL。

這個惡意的 DLL 載入後,其主要任務是解密並注入最終的惡意酬載。駭客會將加密的酬載儲存在另一個檔案中。惡意 DLL 啟動後,會讀取、解密這個酬載,並將其注入到一個正在運行的合法進程中,例如瀏覽器或作業系統服務。這種「寄生」式的攻擊方式讓惡意行為更難被傳統的防毒軟體或安全解決方案偵測。此外,IBM X-Force 的研究人員指出,駭客在開發這個惡意 DLL 時,刻意使用了 .NET 語言並配合「即時編譯(AOT)」技術,使得編譯後的二進位檔案看起來就像是用 C 或 C++ 語言寫成,從而進一步增加了分析的難度。


針對台灣的攻擊活動

在 QuirkyLoader 的眾多攻擊活動中,有一起值得台灣特別關注。報告指出,駭客在 2025 年 7 月觀察到的一起攻擊活動,其目標是台灣的一家企業 Nusoft Taiwan 的員工。這場攻擊的主要目的是利用 QuirkyLoader 載入並散佈 Snake Keylogger,這是一種功能強大的鍵盤側錄程式,能夠記錄受害者的按鍵輸入、擷取螢幕截圖、竊取剪貼簿內容等敏感資訊。這次針對特定企業的攻擊顯示,駭客正積極地針對台灣的企業用戶發動定向攻擊,而非僅僅是廣撒網式的隨機散佈。這不僅對企業的資訊安全基礎設施提出了更高的要求,也提醒員工需要對可疑郵件保持高度警覺。

除了針對台灣的攻擊外,QuirkyLoader 在同一個時間段內還被發現在墨西哥發動了另一場大型攻擊。這場攻擊中,駭客同樣使用 QuirkyLoader,但其最終酬載是 Remcos RAT 和 AsyncRAT,兩種廣泛用於遠端控制和資料竊取的惡意軟體。這表明 QuirkyLoader 是一個多功能且適應性強的工具,駭客可以根據不同的攻擊目標和目的,輕鬆地替換其所分發的惡意酬載。


不斷演變的網路釣魚威脅

QuirkyLoader 的出現再次印證了網路釣魚技術的持續進化。除了這種新型惡意軟體載入程式外,報告也簡要提及了其他正在演變的威脅,包括:

  1. 新型 QR Code 釣魚戰術: 駭客開始利用二維碼(QR Code)來進行釣魚攻擊。他們將惡意連結隱藏在看似正常的 QR Code 中,誘騙使用者掃描。由於許多使用者對 QR Code 的安全性警覺性較低,這使得這類攻擊更容易成功。掃描後,使用者會被導向一個偽造的網站,被要求輸入帳號密碼或其他敏感資訊。
  2. PoisonSeed 釣魚工具包: 一個名為 PoisonSeed 的威脅組織正在使用一種新型的釣魚工具包,其主要目的是竊取使用者的憑證和雙重驗證(2FA)代碼。這類工具包的威脅在於其能夠繞過傳統的 2FA 保護機制,因為它不僅僅竊取密碼,還能實時地竊取 2FA 代碼,使得駭客能夠完全控制帳戶。

總結與防禦建議

QuirkyLoader 惡意軟體的出現,凸顯了傳統安全防禦措施的局限性。其利用合法應用程式和複雜的技術來規避偵測,使得一般的防毒軟體難以在第一時間發揮作用。面對這種新型威脅,應採取多層次的防禦策略:

  1. 員工培訓: 員工是第一道防線。企業應定期進行網路安全意識培訓,教導員工如何辨識可疑的電子郵件、連結和附件。特別要強調不要隨意點擊或下載來自未知發件人的檔案,並對所有要求輸入憑證的網站保持警惕。
  2. 技術防護: 企業應部署進階的威脅防禦系統,例如電子郵件安全閘道、端點偵測與回應(EDR)解決方案和網路入侵偵測系統(IDS)。這些工具可以幫助偵測和阻止惡意檔案的傳播與執行。此外,應確保所有軟體和作業系統都及時更新至最新版本,以修補已知的安全漏洞。
  3. 最小權限原則: 企業應遵循最小權限原則,確保每個使用者和應用程式都只擁有完成其任務所需的最低權限。這可以限制惡意軟體在系統中的橫向移動能力。
  4. 備份與應變計畫: 即使採取了所有預防措施,仍可能發生安全事件。因此,定期備份重要資料並制定完善的應變計畫至關重要。這將有助於在遭受攻擊後迅速恢復,將損失降至最低。

總而言之,QuirkyLoader 是一種複雜且危險的網路威脅。它不僅利用了現有的技術漏洞,還透過不斷進化的社會工程學手法來規避偵測。唯有透過技術防護與人員意識的雙重提升,我們才能有效地對抗這類日益增長的網路威脅。


資料來源:https://thehackernews.com/2025/08/hackers-using-new-quirkyloader-malware.html
根據 IBM X-Force 研究人員的報告,一種名為 QuirkyLoader 的新型惡意軟體正在被駭客用於發動大規模電子郵件垃圾郵件攻擊,以分發 Agent Tesla、AsyncRAT 和 Snake Keylogger 等多種惡意酬載。