CoffeeLoader nutzt GPU-basierten Armoury Packer, um EDR- und Antiviren-Erkennung zu umgehen

Endpunktsicherheit

Computer-Sicherheitsforscher machen auf eine ausgeklügelte neue Malware namens CoffeeLoader aufmerksam, die darauf ausgelegt ist, sekundäre Nutzdaten herunterzuladen und auszuführen.

Laut Zscaler ThreatLabz ähnelt die Malware in ihrem Verhalten einem anderen Malware-Payloader namens SmokeLoader.

"Der Zweck der Malware besteht darin, sekundäre Nutzdaten herunterzuladen und auszuführen, indem sie die Erkennung durch endpunktbasierte Sicherheitsprodukte umgeht", so Brett Stone-Gross, Senior Director of Threat Intelligence bei Zscaler, in einem diese Woche veröffentlichten technischen Dokument.

"Die Malware nutzt zahlreiche Techniken, um Sicherheitslösungen zu umgehen, darunter einen spezialisierten Packer, der die GPU nutzt, Call Stack Spoofing, Sleep Obfuscation und die Verwendung von Windows Fibres."

CoffeeLoader, das etwa im September 2024 entstanden ist, nutzt einen Domain Generation Algorithm (DGA) als Ausweichmechanismus für den Fall, dass die primären Befehls- und Kontrollkanäle (C2) unerreichbar werden.

Das Herzstück der Malware ist ein Packer namens Armoury, der Code auf der GPU des Systems ausführt, um die Analyse in virtuellen Umgebungen zu erschweren. Er wurde so genannt, weil er das von ASUS entwickelte legitime Dienstprogramm Armoury Crate imitiert.

Die Infektionssequenz beginnt mit einem Dropper, der unter anderem versucht, eine von Armoury verpackte DLL-Nutzlast ("ArmouryAIOSDK.dll" oder "ArmouryA.dll") mit erhöhten Rechten auszuführen, jedoch nicht bevor er versucht, die Benutzerkontensteuerung (UAC) zu umgehen, falls der Dropper nicht über die erforderlichen Berechtigungen verfügt.

Der Dropper ist außerdem so konzipiert, dass er über eine geplante Aufgabe, die so konfiguriert ist, dass sie auf der höchsten Benutzerzugriffsebene oder alle 10 Minuten ausgeführt wird, auf dem Host bestehen bleibt. Im Anschluss an diese Phase wird eine Stager-Komponente ausgeführt, die wiederum das Hauptmodul lädt.

"Das Hauptmodul implementiert zahlreiche Techniken, um die Erkennung durch Antivirus (AV) und Endpoint Detection and Response (EDR) zu umgehen, einschließlich Call Stack Spoofing, Sleep Obfuscation und Windows Fibre Exploitation", so Stone-Gross.

Diese Methoden sind in der Lage, den Aufrufstapel zu fälschen, um den Ursprung eines Funktionsaufrufs zu verschleiern, und die Nutzlast zu verschleiern, während sie sich im Ruhezustand befindet, wodurch sie sich der Erkennung durch Sicherheitssoftware entziehen kann.

Das ultimative Ziel von CoffeeLoader ist es, einen C2-Server über HTTPS zu kontaktieren, um die nächste Malware zu erhalten. Dazu gehören Befehle zum Einschleusen und Ausführen des Rhadamanthys-Shellcodes.

Zscaler sagte, er habe eine Reihe von Gemeinsamkeiten zwischen CoffeeLoader und SmokeLoader auf der Ebene des Quellcodes identifiziert, was die Möglichkeit aufkommen lässt, dass es sich um die nächste größere Iteration von SmokeLoader handelt, insbesondere nach den Bemühungen der Strafverfolgungsbehörden im vergangenen Jahr, die dessen Infrastruktur zerstört haben.

"Es gibt auch signifikante Ähnlichkeiten zwischen SmokeLoader und CoffeeLoader, wobei ersterer letzteren verbreitet, aber die genaue Beziehung zwischen den beiden Malware-Familien ist noch unklar", sagte das Unternehmen.

Die Entwicklung kommt zu einem Zeitpunkt, an dem Seqrite Labs eine Phishing-E-Mail-Kampagne beschreibt, die eine mehrstufige Infektionskette in Gang setzt und eine Malware namens Snake Keylogger verbreitet, die Informationen stiehlt.

Sie folgt auch einer anderen Gruppe von Aktivitäten, die auf Nutzer abzielt, die mit Kryptowährungen handeln, indem sie auf Reddit für geknackte Versionen von TradingView wirbt, um Nutzer dazu zu bringen, Stealer wie Lumma und Atomic auf Windows- und macOS-Systemen zu installieren.

SOC