Los investigadores de ciberseguridad están llamando la atención sobre un nuevo malware sofisticado llamado Coffeeloader Eso está diseñado para descargar y ejecutar cargas bártulos secundarias.
El malware, según Zscaler Amenselabz, comparte similitudes de comportamiento con otro cargador de malware conocido conocido como Smokeloader.
“El propósito del malware es descargar y ejecutar cargas bártulos de la segunda etapa mientras evade la detección de productos de seguridad basados en Endpoint”, dijo Brett Stone-Gross, director senior de inteligencia de amenazas en ZSCaler, en un artículo técnico publicado esta semana.
“El malware utiliza numerosas técnicas para evitar soluciones de seguridad, incluido un empacador especializado que utiliza la GPU, la falsificación de la pila de llamadas, la ofuscación del sueño y el uso de fibras de Windows”.
CoffeeLoader, que se originó más o menos de septiembre de 2024, aprovecha un operación de engendramiento de dominio (DGA) como un mecanismo respaldo en caso de que los canales de comando y control primarios (C2) se vuelvan inalámbricos.
Central del malware es un atarazana doblado Packer que ejecuta código en la GPU de un sistema para complicar el prospección en entornos virtuales. Se ha reputado así correcto al hecho de que se hace tener lugar por la utilidad legítima de la caja de atarazana desarrollada por ASUS.
La secuencia de infección comienza con un cuentagotas que, entre otras cosas, intenta ejecutar una carga útil DLL llena de Armory (“armyaiAiosdk.dll” o “armarya.dll”) con privilegios elevados, pero no antiguamente de intentar tener lugar por stop el control de la cuenta de becario (UAC) si el cuentagotas no tiene los permisos necesarios.
El cuentagotas asimismo está diseñado para establecer la persistencia en el host por medio de una tarea programada que está configurada para ejecutarse en el inicio de sesión del becario con el nivel de ejecución más stop o cada 10 minutos. Este paso es sucedido por la ejecución de un componente Stager que, a su vez, carga el módulo principal.
“El módulo principal implementa numerosas técnicas para eludir la detección por antivirus (AV) y la detección y respuesta de punto final (EDR), incluida la falsificación de la pila de llamadas, la ofuscación del sueño y el beneficio de las fibras de Windows”, dijo Stone-Gross.
Estos métodos son capaces de fingir una pila de llamadas para oscurecer el origen de una señal de función y ofuscando la carga útil mientras se encuentra en un estado de sueño, lo que le permite detectar la detección de Security Software.
El objetivo final de CoffeeLoader es contactar a un servidor C2 a través de HTTPS para obtener el malware de la ulterior etapa. Esto incluye comandos para inyectar y ejecutar rhadamanthys shellcode.
ZScaler dijo que identificó una serie de puntos en global entre CoffeeLoader y Smokeloader a nivel de código fuente, lo que aumenta la posibilidad de que sea la próxima iteración principal de este posterior, particularmente luego de un esfuerzo de aplicación de la ley el año pasado que eliminó su infraestructura.
“Además hay similitudes notables entre Smokeloader y CoffeeLoader, y el primero distribuye el segundo, pero la relación exacta entre las dos familias de malware aún no está clara”, dijo la compañía.
El expansión se produce cuando Seqrite Labs detalló una campaña de correo electrónico de phishing para iniciar una condena de infecciones de varias etapas que deja caer un malware que roba información llamado Snake Keylogger.
Además sigue otro clúster de actividad que ha dirigido a los usuarios que participan en el comercio de criptomonedas a través de Publics Reddit publicitados versiones descifradas de TradingView para engañar a los usuarios para que instalaran robadores como Lumma y Atomic en los sistemas Windows y MacOS.
