CoffeeLoader utilizza Armoury Packer basato su GPU per eludere i rilevamenti EDR e antivirus

Endpoint Security

I ricercatori di sicurezza informatica stanno richiamando l'attenzione su un nuovo malware sofisticato chiamato CoffeeLoader, progettato per scaricare ed eseguire payload secondari.

Il malware, secondo Zscaler ThreatLabz, presenta analogie comportamentali con un altro caricatore di malware noto come SmokeLoader.

"Lo scopo del malware è scaricare ed eseguire payload secondari eludendo il rilevamento da parte dei prodotti di sicurezza basati sugli endpoint", ha dichiarato Brett Stone-Gross, senior director of threat intelligence di Zscaler, in un documento tecnico pubblicato questa settimana.

"Il malware utilizza numerose tecniche per aggirare le soluzioni di sicurezza, tra cui un packer specializzato che utilizza la GPU, lo spoofing dello stack di chiamate, l'offuscamento del sonno e l'uso delle fibre di Windows".

CoffeeLoader, che ha avuto origine intorno al settembre 2024, sfrutta un algoritmo di generazione del dominio (DGA) come meccanismo di ripiego nel caso in cui i canali primari di comando e controllo (C2) diventino irraggiungibili.

Al centro del malware c'è un packer chiamato Armoury che esegue il codice sulla GPU del sistema per complicare l'analisi in ambienti virtuali. È stato così chiamato perché impersona l'utilità legittima Armoury Crate sviluppata da ASUS.

La sequenza di infezione inizia con un dropper che, tra le altre cose, tenta di eseguire un payload DLL impacchettato da Armoury ("ArmouryAIOSDK.dll" o "ArmouryA.dll") con privilegi elevati, ma non prima di aver tentato di bypassare il Controllo dell'account utente (UAC) se il dropper non dispone delle autorizzazioni necessarie.

Il dropper è inoltre progettato per stabilire la persistenza sull'host tramite un'attività pianificata configurata per essere eseguita all'accesso dell'utente con il livello di esecuzione più alto o ogni 10 minuti. Questa fase è seguita dall'esecuzione di un componente stager che, a sua volta, carica il modulo principale.

"Il modulo principale implementa numerose tecniche per eludere il rilevamento da parte degli antivirus (AV) e degli EDR (Endpoint Detection and Response), tra cui lo spoofing dello stack di chiamate, l'offuscamento del sonno e lo sfruttamento delle fibre di Windows", ha dichiarato Stone-Gross.

Questi metodi sono in grado di falsificare lo stack delle chiamate per oscurare l'origine di una chiamata di funzione e di offuscare il payload mentre si trova in uno stato di sospensione, consentendogli così di eludere il rilevamento da parte dei software di sicurezza.

L'obiettivo finale di CoffeeLoader è contattare un server C2 tramite HTTPS per ottenere il malware successivo. Questo include comandi per iniettare ed eseguire lo shellcode Rhadamanthys.

Zscaler ha dichiarato di aver identificato una serie di punti in comune tra CoffeeLoader e SmokeLoader a livello di codice sorgente, sollevando la possibilità che si tratti della prossima iterazione principale di quest'ultimo, in particolare a seguito di uno sforzo delle forze dell'ordine dello scorso anno che ne ha distrutto l'infrastruttura.

"Ci sono anche notevoli somiglianze tra SmokeLoader e CoffeeLoader, con il primo che distribuisce il secondo, ma l'esatta relazione tra le due famiglie di malware non è ancora chiara", ha dichiarato la società.

Lo sviluppo arriva mentre Seqrite Labs ha dettagliato una campagna di e-mail di phishing per dare il via a una catena di infezione a più stadi che rilascia un malware che ruba informazioni chiamato Snake Keylogger.

Segue anche un altro gruppo di attività che ha preso di mira gli utenti impegnati nel trading di criptovalute tramite post su Reddit che pubblicizzano versioni craccate di TradingView per indurre gli utenti a installare rubatori come Lumma e Atomic su sistemi Windows e macOS.

SOC