I ricercatori della sicurezza informatica richiamano l’attenzione su un nuovo malware sofisticato chiamato Coffeeloader È progettato per scaricare ed eseguire payload secondari.
Il malware, secondo Zscaler minaccialabz, condivide somiglianze comportamentali con un altro caricatore di malware noto noto come Smokelader.
“Lo scopo del malware è scaricare ed eseguire i payload di seconda fase mentre elude il rilevamento da parte dei prodotti di sicurezza basati su endpoint”, Brett Stone-Gross, senior director di minacce di Intelligence di Zscaler, disse In un articolo tecnico pubblicato questa settimana.
“Il malware utilizza numerose tecniche per bypassare le soluzioni di sicurezza, tra cui un packer specializzato che utilizza la GPU, lo spoofing dello stack di chiamate, l’offuscamento del sonno e l’uso di fibre Home windows.”
Coffeeloader, che ha avuto origine intorno a settembre 2024, sfrutta un algoritmo di generazione di domini (DGA) come meccanismo di fallback nel caso in cui i canali di comando e controllo (C2) primari diventino irraggiungibili.
Al centro del malware è un’arma soprannominata packer che esegue il codice sulla GPU di un sistema per complicare l’analisi in ambienti virtuali. È stato così chiamato per il fatto che impersona il legittimo ARMARY CRATE Utilità sviluppata da Asus.
La sequenza di infezione inizia con un contagocce che, tra le altre cose, tenta di eseguire un carico utile DLL pieno da Armory (“Armouryaiosdk.dll” o “Armourya.dll”) con privilegi elevati, ma non prima di tentare di bypassare il controllo dell’account utente (UAC) se il dropper non ha le autorizzazioni necessarie.
Il contagocce è inoltre progettato per stabilire la persistenza sull’host mediante un’attività programmata configurata per eseguire il logon dell’utente con il livello di esecuzione più alto o ogni 10 minuti. Questo passaggio è riuscito dall’esecuzione di un componente di stager che, a sua volta, carica il modulo principale.
“Il modulo principale implementa numerose tecniche per eludere il rilevamento da parte dell’antivirus (AV) e il rilevamento e la risposta degli endpoint (EDRS) tra cui Chiama lo spoofing dello stack, Offuscamento del sonnoe sfruttando Fibre di Home windows“Disse Stone-Gross.
Questi metodi sono in grado di fingere a Chiama Stack A oscura l’origine di una chiamata di funzione e offuscando il payload mentre si trova in uno stato di sonno, consentendo così di eludere il rilevamento da parte del software program di sicurezza.
L’obiettivo finale di CoffeeLoader è quello di contattare un server C2 tramite HTTPS per ottenere il malware in stadio successivo. Ciò embody comandi per iniettare ed eseguire Rhadamanthys Shellcode.
Zscaler ha affermato di aver identificato una serie di elementi comuni tra CoffeeLoader e Smokelader a livello di codice sorgente, aumentando la possibilità che possa essere la prossima grande iterazione di quest’ultima, in particolare all’indomani di a sforzo di applicazione della legge L’anno scorso ha abbattuto la sua infrastruttura.
“Ci sono anche notevoli somiglianze tra Smokeloader e Coffeeloader, con il primo che distribuisce il secondo, ma la relazione esatta tra le due famiglie di malware non è ancora chiara”, ha detto la società.
Lo sviluppo arriva come seqrite labs dettagliato Una campagna e-mail di phishing per dare il through a una catena di infezione a più stadi che lascia cadere un malware che ruba informazioni chiamato Snake Keylogger.
Segue anche Un altro gruppo di attività Ciò ha preso di mira gli utenti che si impegnano nel buying and selling di criptovaluta tramite Reddit submit che pubblicizzano versioni crollate di TradingView per indurre gli utenti all’installazione di furti come Lumma e Atomic su Home windows e MacOS Methods.
