QuirkyLoader などの戦略を検証:Agent Tesla/AsyncRAT/Snake Keylogger の配信経路を整理する

Hackers Using New QuirkyLoader Malware to Spread Agent Tesla, AsyncRAT and Snake Keylogger

2025/08/21 TheHackerNews — QuirkyLoader という新たなマルウェア・ローダー の詳細が、サイバー・セキュリティ研究者たちにより公開された。このローダーは、2024年11月からスパム・メール・キャンペーン経由で展開されており、InfoStealer から RAT (remote access trojans) にいたる、次世代のマルウェア・ペイロードの配信で利用されている。

QuirkyLoader が配信するマルウェア・ファミリー

QuirkyLoader を介して拡散される、代表的なマルウェアには以下が含まれる:

  • Agent Tesla
  • AsyncRAT
  • Formbook
  • Masslogger
  • Remcos RAT
  • Rhadamanthys Stealer
  • Snake Keylogger
攻撃手法と特徴

IBM X-Force の調査によると、一連の攻撃では正規のメールサービス・プロバイダーおよび自社ホスティング型メール・サーバの双方が悪用され、そこから配信されるメールには、DLL/暗号化ペイロード/実行ファイルを取り込んだ悪意のアーカイブが添付されている。

セキュリティ研究者 Raymond Joseph Alfonso は、「攻撃者たちは、DLL サイドローディング手法を用いることで、正規の実行ファイル起動時に悪意の DLL をロードさせている。この DLL は、最終的なペイロードを復号して標的プロセスに注入している」と述べている。

この注入はプロセス・ホローイングにより実行され、AddInProcess32.exe/InstallUtil.exe/aspnet_wp.exe などのプロセスに、マルウェアを注入する。

IBM によると、ここ数ヶ月間に QuirkyLoader DLL は、限定的なキャンペーンで利用され、2025年7月には、台湾とメキシコを標的とする2件の攻撃が確認されている。

  • 台湾のケース:新北市に拠点を置く Nusoft Taiwan の従業員を狙い、Snake Keylogger に感染させ、Web ブラウザ/キー入力/クリップボードなどからの、機密情報の窃取を目的としていた。
  • メキシコのケース:無作為性が高く、感染チェーンを通じて Remcos RAT と AsyncRAT が配信された。

Raymond Joseph Alfonso によると、この DLL ローダー・モジュールは一貫して .NET 言語で記述され、AOT (ahead-of-time) コンパイルを利用している。そのため、生成されたバイナリには、C/C++ によるものと思われる特徴がある。

QR フィッシングの台頭

その一方で、QR コードを悪用する新たなフィッシング戦術 (Quishing) を展開する攻撃も増えている。具体的には、二分割した悪意の QR コードが、Gabagool や Tycoon などのフィッシング・キットを介して展開されている。それらを配信するメール・メッセージには、正規の QR コードも取り込まれており、それらにより検出を回避している。

Barracuda の研究者である Rohit Suresh Kanase は、「悪意の QR コードが好まれるのは、人間には不可視であり警戒され難く、メール・フィルターやリンク・スキャナーなどの、これまでの検知技術を回避していくからである。さらに、コードを読み取りにはモバイル端末が必要とされるため、企業のセキュリティ境界外へとユーザーが誘導されるという危険が生じる」と述べている。

フィッシング・キット PoisonSeed

PoisonSeed と呼ばれる、新しいフィッシング・キットの存在に言及する調査結果もある。このキットは、個人や組織から認証情報や 2FA コードを盗み出し、暗号通貨詐欺のメール送信に悪用するものである。

NVISO Labs によると、PoisonSeed がホストするドメインは、Google/SendGrid/Mailchimp などの大手サービス・プロバイダーのログインページを模倣し、スピアフィッシング・メールを通じて被害者を偽の認証画面へと誘導するという。

このキットの特徴は、精密検証フィッシングという手法にある。ユーザーに対して Cloudflare Turnstile チャレンジを提示している間に、攻撃者はバックグラウンドでメール・アドレスをリアルタイム検証するというものだ。そして、チャレンジを通過した被害者には、正規サイトを装うログイン・フォームが表示され、入力された情報が攻撃者へ送信される仕組みだ。

新たに確認されたマルウェア・ローダー QuirkyLoader について、紹介する記事です。その手口として注目されるのは、DLL サイドローディングという手法です。これは、Windows の仕組みを悪用するものであり、正規の実行ファイルが起動する際に、同じ名前を持つ悪意の DLL を優先的に読み込ませるものです。詳しくは、DLL Sideloading で検索を、ご参照ください。また、QR Code で検索も、ご参照ください。