Los investigadores de ciberseguridad han revelado detalles de un nuevo cargador de malware llamado Quirófano Eso se está utilizando para entregar por correo electrónico campañas de spam una variedad de cargas efectos de próxima etapa que van desde robos de información hasta troyanos de comunicación remoto desde noviembre de 2024.
Algunas de las familias de malware notables distribuidas con QuirkyLoader incluyen el Agente Tesla, Asyncrat, Formbook, MassLogger, RemCos Rat, Rhadamanthys Stealer y Snake Keylogger.
IBM X-Force, que detalló el malware, dijo que los ataques implican despachar correos electrónicos de spam tanto de proveedores de servicios de correo electrónico legítimos como de un servidor de correo electrónico autohostado. Estos correos electrónicos cuentan con un archivo desconfiado, que contiene una DLL, una carga útil cifrada y un ejecutable vivo.
“El actor utiliza la carga anexo de DLL, una técnica en la que el tirada del ejecutable oficial igualmente carga la DLL maliciosa”, dijo el investigador de seguridad Raymond Joseph Alfonso. “Esta DLL, a su vez, carga, descifra e inyecta la carga útil final en su proceso de destino”.
Esto se logra mediante el uso de Process Hollowing para inyectar el malware en uno de los tres procesos: AddInprocess32.exe, installUtil.exe o aspnet_wp.exe.
El cargador DLL, según IBM, se ha utilizado en campañas limitadas durante los últimos meses, con dos campañas observadas en julio de 2025 dirigidas a Taiwán y México.
Se dice que la campaña dirigida a Taiwán ha destacado específicamente a los empleados de Nusoft Taiwán, una compañía de investigación de seguridad de redes en redes e Internet con sede en New Taipei City, con el objetivo de infectarlos con Keylogger de serpiente, que es capaz de robar información confidencial de navegadores web populares, pulsadores y contenido de clima.
La campaña relacionada con México, por otro costado, se evalúa como aleatoria, con las cadenas de infección que entregan REMCOS RAT y Asyncrat.
“El actor de amenaza escribe constantemente el módulo del cargador DLL en lenguajes .NET y utiliza la compilación de anticipación (AOT)”, dijo Alfonso. “Este proceso compila el código en el código de la máquina nativa ayer de la ejecución, lo que hace que el binario resultante aparezca como si estuviera escrito en C o C ++”.
Nuevas tendencias de phishing
El crecimiento se produce cuando los actores de amenaza están utilizando tácticas de phishing de código QR (igualmente conocido como Quishing) como dividir los códigos QR maliciosos en dos partes o integrarlos internamente de los legítimos en los mensajes de correo electrónico propagados a través de kits de phishing como Gabagaol y el magnate, respectivamente, para eludir la detección, demostrando la crecimiento en curso.
“Los códigos de QR maliciosos son populares entre los atacantes por varias razones”, dijo el investigador de Barracuda Rohit Suresh Kanase. “No pueden ser leídos por humanos, así que no saliente las banderas rojas, y a menudo pueden evitar medidas de seguridad tradicionales, como filtros de correo electrónico y escáneres de enlaces”.
“Adicionalmente, transmitido que los destinatarios a menudo tienen que cambiar a un dispositivo móvil para escanear el código, puede sacar a los usuarios del perímetro de seguridad de la empresa y allí de la protección”.
Los hallazgos igualmente siguen la aparición de un kit de phishing utilizado por el actor de amenaza de envenenamiento para apropiarse credenciales y códigos de autenticación de dos factores (2FA) de individuos y organizaciones para obtener comunicación a las cuentas de las víctimas y usarlos para despachar correos electrónicos para resistir a punta estafas de criptomonedas.
“Los dominios que organizan este kit de phishing son tener lugar por servicios de inicio de sesión de empresas prominentes de CRM y correo electrónico a suelto como Google, SendGrid, MailChimp y probablemente otros, dirigidos a las credenciales de las personas”, dijo Nviso Labs. “La intoxicación emplea correos electrónicos de phishing de gancho que integran enlaces maliciosos, que redirigen a las víctimas a su kit de phishing”.
Un aspecto trascendental del kit es el uso de una técnica conocida como phishing validado por precisión en el que el atacante valida una dirección de correo electrónico en tiempo vivo en segundo plano, mientras que un desafío de tornas de nubes falsos se sirve para el afortunado. Una vez que se aprueban los cheques, aparece un formulario de inicio de sesión que se hace tener lugar por la plataforma en tangente legítima, lo que permite a los actores de amenaza capturar credenciales enviadas y luego transmitirlas al servicio.
