Cybersecurity -onderzoekers vestigen de aandacht op een nieuwe geavanceerde malware genaamd Coffeeloader Dat is ontworpen om secundaire payloads te downloaden en uit te voeren.
De malware, volgens ZScaler Threatlabz, deelt gedragsovereenkomst met een andere bekende malware -lader die bekend staat als Smokeloader.
“Het doel van de malware is het downloaden en uitvoeren van de tweede fase payloads terwijl detectie wordt ontweken door eindpuntgebaseerde beveiligingsproducten,” zei Brett Stone-Gross, senior directeur van dreigingsinformatie bij ZScaler, in een technisch beschrijving dat deze week is gepubliceerd.
“De malware maakt gebruik van talloze technieken om beveiligingsoplossingen te omzeilen, waaronder een gespecialiseerde packer die de GPU gebruikt, stack -spoofing call, slaapverdachte en het gebruik van Windows -vezels.”
Coffeeloader, die rond september 2024 is ontstaan, maakt gebruik van een domeingeneratie-algoritme (DGA) als een fallback-mechanisme voor het geval de primaire command-and-control (C2) -kanalen onbereikbaar worden.
Centraal in de malware staat een packer genaamd Armory die code uitvoert op de GPU van een systeem om analyse in virtuele omgevingen te compliceren. Het is zo genoemd vanwege het feit dat het zich voordoet aan het legitieme arsenaal krathulpprogramma ontwikkeld door ASUS.
De infectiereeks begint met een druppelaar die onder andere probeert een DLL -lading uit te voeren die is verpakt door Armory (“Armouryaiosdk.dll” of “Armourya.dll”) met verhoogde privileges, maar niet voordat hij probeert om gebruikersaccountcontrole (UAC) te omzeilen als de dropper geen noodzakelijke permanentingen heeft.
De dropper is ook ontworpen om persistentie op de host vast te stellen door middel van een geplande taak die is geconfigureerd om te worden uitgevoerd op gebruikersaanmelding met het hoogste runniveau of om de 10 minuten. Deze stap wordt opgevolgd door de uitvoering van een Stager -component die op zijn beurt de hoofdmodule laadt.
“De hoofdmodule implementeert talloze technieken om detectie te ontwijken door antivirus (AV) en eindpuntdetectie en respons (EDR’s), waaronder call stack-spoofing, slaapverdieping en het benutten van ramenvezels,” zei Stone-Gross.
Deze methoden zijn in staat om een call -stack te vervalsen om de oorsprong van een functieaanroep te verdoezelen en de lading te verdoezelen terwijl deze in slaapstaat is, waardoor het detectie door beveiligingssoftware kan omzeilen.
De ultieme doelstelling van Coffeeeloader is om contact op te nemen met een C2-server via HTTPS om de volgende fase malware te verkrijgen. Dit omvat opdrachten om rhadamanthys shellcode te injecteren en uit te voeren.
ZScaler zei dat het een aantal overeenkomsten tussen de coffeeloader en Smokeloader op het broncodeliveau identificeerde, waardoor de mogelijkheid werd verhoogd dat het de volgende belangrijke iteratie van de laatste kan zijn, met name in de nasleep van een wetshandhavingsinspanning vorig jaar die zijn infrastructuur neerhaalde.
“Er zijn ook opmerkelijke overeenkomsten tussen Smokeloader en Coffeeloader, waarbij de eerste de laatste verspreidt, maar de exacte relatie tussen de twee malwarefamilies is nog niet duidelijk,” zei het bedrijf.
De ontwikkeling komt als seqrite-laboratoria een phishing-e-mailcampagne beschrijven om een multi-fasen infectieketen te starten die een informatie-stelen malware met de naam Snake Keylogger laat vallen.
Het volgt ook een ander cluster van activiteiten die gericht zijn op gebruikers die zich bezighouden met cryptocurrency -handel via Reddit -posts adverteren gebarsten versies van TradingView om gebruikers te misleiden om stealers zoals Lumma en Atomic op Windows en MacOS -systemen te installeren.
