Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Coffeeloader utiliza Armory Packer basado en GPU para evadir EDR y la detección de antivirus
  • Tecnología

Coffeeloader utiliza Armory Packer basado en GPU para evadir EDR y la detección de antivirus

teknomers 28 de Mart de 2025 (Last updated: 28 de Mart de 2025) 4 minutes read
Coffeeloader utiliza Armory Packer basado en GPU para evadir EDR


28 de marzo de 2025Ravie LakshmananSeguridad de punto final / inteligencia de amenazas

Los investigadores de ciberseguridad están llamando la atención sobre un nuevo malware sofisticado llamado Coffeeloader Eso está diseñado para descargar y ejecutar cargas útiles secundarias.

El malware, según Zscaler Amenselabz, comparte similitudes de comportamiento con otro cargador de malware conocido conocido como Smokeloader.

“El propósito del malware es descargar y ejecutar cargas útiles de la segunda etapa mientras evade la detección de productos de seguridad basados ​​en Endpoint”, Brett Stone-Gross, director senior de inteligencia de amenazas en ZSCaler, dicho En una redacción técnica publicada esta semana.

“El malware utiliza numerosas técnicas para evitar soluciones de seguridad, incluido un empacador especializado que utiliza la GPU, la falsificación de la pila de llamadas, la ofuscación del sueño y el uso de fibras de Windows”.

Ciberseguridad

CoffeeLoader, que se originó alrededor de septiembre de 2024, aprovecha un algoritmo de generación de dominio (DGA) como un mecanismo respaldo en caso de que los canales de comando y control primarios (C2) se vuelvan inalámbricos.

Central del malware es un arsenal doblado Packer que ejecuta código en la GPU de un sistema para complicar el análisis en entornos virtuales. Se ha nombrado así debido al hecho de que se hace pasar por la legítima Arsenal utilidad desarrollada por ASUS.

La secuencia de infección comienza con un gotero que, entre otras cosas, intenta ejecutar una carga útil DLL llena de Armory (“armyaiAiosdk.dll” o “armarya.dll”) con privilegios elevados, pero no antes de intentar pasar por alto el control de la cuenta de usuario (UAC) si el gotero no tiene los permisos necesarios.

El gotero también está diseñado para establecer la persistencia en el host por medio de una tarea programada que está configurada para ejecutarse en el inicio de sesión del usuario con el nivel de ejecución más alto o cada 10 minutos. Este paso es sucedido por la ejecución de un componente Stager que, a su vez, carga el módulo principal.

“El módulo principal implementa numerosas técnicas para evadir la detección por antivirus (AV) y la detección y respuesta del punto final (EDRS) que incluyen Call Stack Spoofing, ofuscación del sueñoy apalancamiento Fibras de Windows“Dijo Stone Gross.

Estos métodos son capaces de fingir un pila de llamadas a oscurecer el origen de una función de la función y ofuscando la carga útil mientras está en un estado de sueño, lo que le permite que el software de seguridad evite la detección.

El objetivo final de CoffeeLoader es contactar a un servidor C2 a través de HTTPS para obtener el malware de la siguiente etapa. Esto incluye comandos para inyectar y ejecutar Rhadamanthys shellcode.

Ciberseguridad

ZScaler dijo que identificó una serie de puntos en común entre CoffeeLoader y Smokeloader a nivel de código fuente, lo que aumenta la posibilidad de que sea la próxima iteración principal de este último, particularmente después de un esfuerzo de aplicación de la ley el año pasado que eliminó su infraestructura.

“También hay similitudes notables entre Smokeloader y CoffeeLoader, y el primero distribuye el segundo, pero la relación exacta entre las dos familias de malware aún no está clara”, dijo la compañía.

El desarrollo se produce como Seqrite Labs detallado Una campaña de correo electrónico de phishing para iniciar una cadena de infecciones de varias etapas que deja caer un malware que roba información llamado Snake Keylogger.

También sigue Otro grupo de actividad Eso ha dirigido a los usuarios que participan en el comercio de criptomonedas a través de Reddit publicaciones publicitarias versiones agrietadas de TradingView para engañar a los usuarios en la instalación de robadores como Lumma y Atomic en los sistemas Windows y MacOS.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Pete Davidson tuvo la reacción más incómoda después de que le preguntaran sobre su relación con Kim Kardashian en la televisión en vivo, y su rostro lo dijo todo
Next: Por qué quiero que salgan a saltar como Nureyev una vez más

Related Stories

Esta ciudad estadounidense detiene los vertidos de agua de centros
  • Tecnología

Esta ciudad estadounidense detiene los vertidos de agua de centros de datos tras una contaminación relacionada con Meta

teknomers 6 de Temmuz de 2026
Hasta un 76% de descuento en NordVPN por las rebajas:
  • Tecnología

Hasta un 76% de descuento en NordVPN por las rebajas: ¿cuánto tiempo queda para aprovecharlo?

teknomers 5 de Temmuz de 2026
La Vía Láctea es más vasta de lo que pensábamos:
  • Tecnología

La Vía Láctea es más vasta de lo que pensábamos: XMM-Newton revisa la distancia de sus brazos espirales externos

teknomers 5 de Temmuz de 2026

You May Have Missed

  • General

Trump quiere que el Air Force One regalo de Qatar figure en su biblioteca presidencial, pero aún hay obstáculos: Informe

teknomers 6 de Temmuz de 2026
  • Deporte

Maniobras, abogados… Cómo Donald Trump utilizó todo su peso para convencer a la FIFA de anular el cartón rojo de Balogun.

teknomers 6 de Temmuz de 2026
Duran. Los jubilados han descubierto la ciudad de Albi
  • salud

Duran. Los jubilados han descubierto la ciudad de Albi

teknomers 6 de Temmuz de 2026
Los resultados del bac 2026 se anunciarán el martes 7
  • Entretenimiento

Los resultados del bac 2026 se anunciarán el martes 7 de julio, aquí tienes a qué hora en tu academia

teknomers 6 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.