Siber güvenlik araştırmacıları, yeni bir gelişmiş kötü amaçlı yazılımın dikkatini çekiyor. Kahve yükleyici Bu, ikincil yükleri indirmek ve yürütmek için tasarlanmıştır.
Zscaler tehdidine göre kötü amaçlı yazılım, davranışsal benzerlikleri Smokeloader olarak bilinen bilinen başka bir kötü amaçlı yazılım yükleyicisiyle paylaşıyor.
“Kötü amaçlı yazılımın amacı, uç nokta tabanlı güvenlik ürünleri tarafından algılamadan kaçınırken ikinci aşama yükleri indirmek ve yürütmektir.” söz konusu Bu hafta yayınlanan teknik bir yazıda.
“Kötü amaçlı yazılım, GPU’yu kullanan özel bir paketleyici de dahil olmak üzere güvenlik çözümlerini atlamak için çok sayıda teknik kullanıyor, yığın sahtekarlığı, uyku gizleme ve Windows liflerinin kullanımı.”
Eylül 2024’te ortaya çıkan Coffeeloader, birincil komuta ve kontrol (C2) kanallarının ulaşılamaz hale gelmesi durumunda bir geri dönüş mekanizması olarak bir etki alanı oluşturma algoritmasından (DGA) yararlanır.
Kötü amaçlı yazılımların merkezinde, sanal ortamlarda analizi karmaşıklaştırmak için bir sistemin GPU’sunda kod yürüten bir paketleyici olarak adlandırılan bir Armory olarak adlandırılır. Meşruları taklit ettiği gerçeğinden dolayı böyle adlandırıldı Armory sandık Asus tarafından geliştirilen yardımcı program.
Enfeksiyon dizisi, diğer şeylerin yanı sıra, armory (“armouryaiosdk.dll” veya “armourya.dll”) tarafından paketlenmiş bir DLL yükü yürütmeye çalışan bir damlalıkla başlar, ancak damlalığın gerekli izinlere sahip değilse kullanıcı hesabı kontrolünü (UAC) atlamaya çalışmadan önce değil.
Droper ayrıca, en yüksek çalışma seviyesine sahip kullanıcı oturum açması üzerine çalışacak şekilde yapılandırılmış planlanmış bir görev vasıtasıyla ana bilgisayarda kalıcılık oluşturmak üzere tasarlanmıştır. Bu adım, ana modülü yükleyen bir Stager bileşeninin yürütülmesi ile yerine getirilir.
“Ana modül, antivirüs (AV) ve uç nokta algılama ve yanıt (EDR’ler) tarafından tespitten kaçınmak için çok sayıda teknik uygular. Stack Sahtekarını Arayın– Uyku şaşkınlığıve kaldırma Windows Elyafları“Dedi Stone-Gross.
Bu yöntemler taklit edebilir Çağrı yığını ile kökenini gizlemek bir işlev çağrısı ve bir uyku durumundayken yükün gizlenmesi, böylece güvenlik yazılımı tarafından algılanmasına izin verir.
Coffeeloader’ın nihai amacı, bir sonraki aşamalı kötü amaçlı yazılımları elde etmek için HTTPS aracılığıyla bir C2 sunucusuna başvurmaktır. Bu, enjekte etmek ve yürütme komutlarını içerir Rhadamanthys Shellcode.
Zscaler, kaynak kodu düzeyinde kahve yüklü ve dumancı arasında bir dizi ortaklık belirlediğini ve özellikle geçen yıl altyapısını düşüren bir kolluk çabasının ardından, ikincisinin bir sonraki ana yinelemesi olabileceğini artırdığını söyledi.
Şirket, “Smokeloader ve Coffeeloader arasında, birincisi ikincisini dağıtıyor, ancak iki kötü amaçlı yazılım ailesi arasındaki kesin ilişki henüz net değil.” Dedi.
Geliştirme Seqrite Labs olarak geliyor ayrıntılı Snake Keylogger adında bilgi çalan bir kötü amaçlı yazılım bırakan çok aşamalı bir enfeksiyon zincirini başlatmak için bir kimlik avı e-posta kampanyası.
Ayrıca takip eder Başka bir faaliyet kümesi Bu, Reddit yoluyla kripto para ticaretine giren kullanıcıları hedefledi.
