2024 年 4 月下旬，研究人员观察到一些特别的钓鱼邮件附件，文件名为「华为工业级路由器相关产品介绍和优秀客户案例」。顺藤摸瓜发现一系列以中国企业/组织名称命名的恶意附件，如「中国移动集团XX分公司」、「嘉X智能科技」与「XX水利技术学院」。所有样本都使用 Word 文档的图标，吸引受害者打开这些文档文件，但实际上执行的是二进制文件。

这些 Loader 具备强大的引诱和规避能力，帮助恶意样本保持不被发现，也阻止分析人员进行分析。下载的 Shellcode 也加载进同一 Loader 中，不写入磁盘也降低了被发现的风险。

发现的大多数样本文件都使用合法的过期证书，使样本文件看起来很正常。使用证书之一是颁发给杭州瑛格科技有限公司的，在 2021 年 7 月 15 日到期。证书的指纹为 3F984B8706702DB13F26AE73BD4C591C5936344F，序列号为 02 0E B5 27 BA C0 10 99 59 3E 2E A9 02 E3 97 CB。当然，这并不是唯一的无效证书。

SquidLoader 使用了大量的检测规避技术，此处简单列举几个：

 

使用无意义/模糊的指令

 

文件中包含模糊且无意义的 x86 指令，例如 pause、mfence 或 lfence。某些函数还包含填充指令，例如根本不使用的随机算术计算。这可能是攻击者想要破坏或者绕过反病毒模拟器的尝试，这些检测手段可能并未实现不太常见的指令，或者可能只能运行模拟指令。

 

加密代码段

 

恶意软件开始执行后立即加载内嵌的加密 Shellcode，在动态分配的内存段中进行解密，赋予该段执行权限并调用。加密算法是固定位移的单字节异或加密，如下所示。解密过程中还包括诱饵指令，进一步混淆代码，但没有实际用途。