Peneliti cybersecurity meminta perhatian pada malware canggih baru yang disebut Coffeeloader Itu dirancang untuk mengunduh dan menjalankan muatan sekunder.
Malware, menurut Zscaler Ancromlabz, berbagi kesamaan perilaku dengan pemuat malware lain yang dikenal yang dikenal sebagai SmokeLoader.
“Tujuan dari malware adalah untuk mengunduh dan melaksanakan muatan tahap kedua sambil menghindari deteksi dengan produk keamanan berbasis titik akhir,” Brett Stone-Gross, direktur senior Ancaman Intelijen di Zscaler, mengatakan dalam tulisan teknis yang diterbitkan minggu ini.
“Malware menggunakan banyak teknik untuk memotong solusi keamanan, termasuk pengemas khusus yang memanfaatkan GPU, panggilan panggilan tumpukan, kebingungan tidur, dan penggunaan serat jendela.”
Coffeeloader, yang berasal dari September 2024, memanfaatkan algoritma generasi domain (DGA) sebagai mekanisme mundur jika saluran komando dan kontrol utama (C2) menjadi tidak dapat dijangkau.
Pusat malware adalah Packer yang dijuluki gudang senjata yang mengeksekusi kode pada GPU sistem untuk memperumit analisis di lingkungan virtual. Telah dinamai demikian karena fakta bahwa itu menyamar sebagai utilitas peti gudang senjata yang sah yang dikembangkan oleh Asus.
Urutan infeksi dimulai dengan penetes yang, antara lain, berupaya menjalankan muatan DLL yang dikemas oleh Armory (“Armouryaiosdk.dll” atau “Armourya.dll”) dengan hak istimewa yang ditinggikan, tetapi tidak sebelum mencoba mem -bypass kontrol akun pengguna (UAC) jika penetes tidak memiliki izin yang diperlukan.
Penetes juga dirancang untuk membangun kegigihan pada host dengan menggunakan tugas yang dijadwalkan yang dikonfigurasi untuk berjalan baik pada logon pengguna dengan level lari tertinggi atau setiap 10 menit. Langkah ini digantikan oleh eksekusi komponen stager yang, pada gilirannya, memuat modul utama.
“Modul utama mengimplementasikan banyak teknik untuk menghindari deteksi oleh antivirus (AV) dan deteksi dan respons titik akhir (EDR) termasuk spoofing tumpukan panggilan, kebingungan tidur, dan memanfaatkan serat jendela,” kata Stone-Gross.
Metode -metode ini mampu memalsukan tumpukan panggilan untuk mengaburkan asal usul panggilan fungsi dan mengaburkan muatan saat berada dalam keadaan tidur, sehingga memungkinkannya untuk menghindari deteksi oleh perangkat lunak keamanan.
Tujuan utama Coffeeloader adalah untuk menghubungi server C2 melalui HTTPS untuk mendapatkan malware tahap berikutnya. Ini termasuk perintah untuk menyuntikkan dan menjalankan rhadamanthys shellcode.
Zscaler mengatakan pihaknya mengidentifikasi sejumlah kesamaan antara Coffeeloader dan Smokeloader di tingkat kode sumber, meningkatkan kemungkinan bahwa itu mungkin iterasi besar berikutnya dari yang terakhir, terutama setelah upaya penegakan hukum tahun lalu yang menurunkan infrastrukturnya.
“Ada juga kesamaan penting antara SmokeLoader dan Coffeeloader, dengan yang sebelumnya mendistribusikan yang terakhir, tetapi hubungan yang tepat antara kedua keluarga malware belum jelas,” kata perusahaan itu.
Perkembangan ini datang ketika Seqrite Labs merinci kampanye email phishing untuk memulai rantai infeksi multi-tahap yang menjatuhkan malware mencuri informasi yang disebut Snake Keylogger.
Ini juga mengikuti gugusan aktivitas lain yang menargetkan pengguna yang terlibat dalam perdagangan cryptocurrency melalui Reddit Post yang mengiklankan versi retak dari TradingView untuk menipu pengguna agar menginstal pencuri seperti Lumma dan Atomic pada sistem Windows dan MacOS.
