
Los investigadores de ciberseguridad están llamando la atención sobre un nuevo malware sofisticado llamado Coffeeloader Eso está diseñado para descargar y ejecutar cargas útiles secundarias.
El malware, según Zscaler Amenselabz, comparte similitudes de comportamiento con otro cargador de malware conocido conocido como Smokeloader.
“El propósito del malware es descargar y ejecutar cargas útiles de la segunda etapa mientras evade la detección de productos de seguridad basados en Endpoint”, Brett Stone-Gross, director senior de inteligencia de amenazas en ZSCaler, dicho En una redacción técnica publicada esta semana.
“El malware utiliza numerosas técnicas para evitar soluciones de seguridad, incluido un empacador especializado que utiliza la GPU, la falsificación de la pila de llamadas, la ofuscación del sueño y el uso de fibras de Windows”.
CoffeeLoader, que se originó alrededor de septiembre de 2024, aprovecha un algoritmo de generación de dominio (DGA) como un mecanismo respaldo en caso de que los canales de comando y control primarios (C2) se vuelvan inalámbricos.
Central del malware es un arsenal doblado Packer que ejecuta código en la GPU de un sistema para complicar el análisis en entornos virtuales. Se ha nombrado así debido al hecho de que se hace pasar por la legítima Arsenal utilidad desarrollada por ASUS.
La secuencia de infección comienza con un gotero que, entre otras cosas, intenta ejecutar una carga útil DLL llena de Armory (“armyaiAiosdk.dll” o “armarya.dll”) con privilegios elevados, pero no antes de intentar pasar por alto el control de la cuenta de usuario (UAC) si el gotero no tiene los permisos necesarios.
El gotero también está diseñado para establecer la persistencia en el host por medio de una tarea programada que está configurada para ejecutarse en el inicio de sesión del usuario con el nivel de ejecución más alto o cada 10 minutos. Este paso es sucedido por la ejecución de un componente Stager que, a su vez, carga el módulo principal.
“El módulo principal implementa numerosas técnicas para evadir la detección por antivirus (AV) y la detección y respuesta del punto final (EDRS) que incluyen Call Stack Spoofing, ofuscación del sueñoy apalancamiento Fibras de Windows“Dijo Stone Gross.
Estos métodos son capaces de fingir un pila de llamadas a oscurecer el origen de una función de la función y ofuscando la carga útil mientras está en un estado de sueño, lo que le permite que el software de seguridad evite la detección.
El objetivo final de CoffeeLoader es contactar a un servidor C2 a través de HTTPS para obtener el malware de la siguiente etapa. Esto incluye comandos para inyectar y ejecutar Rhadamanthys shellcode.
ZScaler dijo que identificó una serie de puntos en común entre CoffeeLoader y Smokeloader a nivel de código fuente, lo que aumenta la posibilidad de que sea la próxima iteración principal de este último, particularmente después de un esfuerzo de aplicación de la ley el año pasado que eliminó su infraestructura.
“También hay similitudes notables entre Smokeloader y CoffeeLoader, y el primero distribuye el segundo, pero la relación exacta entre las dos familias de malware aún no está clara”, dijo la compañía.
El desarrollo se produce como Seqrite Labs detallado Una campaña de correo electrónico de phishing para iniciar una cadena de infecciones de varias etapas que deja caer un malware que roba información llamado Snake Keylogger.
También sigue Otro grupo de actividad Eso ha dirigido a los usuarios que participan en el comercio de criptomonedas a través de Reddit publicaciones publicitarias versiones agrietadas de TradingView para engañar a los usuarios en la instalación de robadores como Lumma y Atomic en los sistemas Windows y MacOS.






