{"id":1643151,"date":"2025-03-28T18:03:21","date_gmt":"2025-03-28T18:03:21","guid":{"rendered":"https:\/\/teknomers.com\/es\/coffeeloader-utiliza-armory-packer-basado-en-gpu-para-evadir-edr-y-la-deteccion-de-antivirus\/"},"modified":"2025-03-28T18:03:26","modified_gmt":"2025-03-28T18:03:26","slug":"coffeeloader-utiliza-armory-packer-basado-en-gpu-para-evadir-edr-y-la-deteccion-de-antivirus","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/coffeeloader-utiliza-armory-packer-basado-en-gpu-para-evadir-edr-y-la-deteccion-de-antivirus\/","title":{"rendered":"Coffeeloader utiliza Armory Packer basado en GPU para evadir EDR y la detecci\u00f3n de antivirus"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">28 de marzo de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad de punto final \/ inteligencia de amenazas<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Coffeeloader-utiliza-Armory-Packer-basado-en-GPU-para-evadir-EDR.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad est\u00e1n llamando la atenci\u00f3n sobre un nuevo malware sofisticado llamado <strong>Coffeeloader<\/strong> Eso est\u00e1 dise\u00f1ado para descargar y ejecutar cargas \u00fatiles secundarias.<\/p>\n<p>El malware, seg\u00fan Zscaler Amenselabz, comparte similitudes de comportamiento con otro cargador de malware conocido conocido como Smokeloader. <\/p>\n<p>&#8220;El prop\u00f3sito del malware es descargar y ejecutar cargas \u00fatiles de la segunda etapa mientras evade la detecci\u00f3n de productos de seguridad basados \u200b\u200ben Endpoint&#8221;, Brett Stone-Gross, director senior de inteligencia de amenazas en ZSCaler, <a rel=\"noopener nofollow\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/coffeeloader-brew-stealthy-techniques\" target=\"_blank\">dicho<\/a> En una redacci\u00f3n t\u00e9cnica publicada esta semana.<\/p>\n<p>&#8220;El malware utiliza numerosas t\u00e9cnicas para evitar soluciones de seguridad, incluido un empacador especializado que utiliza la GPU, la falsificaci\u00f3n de la pila de llamadas, la ofuscaci\u00f3n del sue\u00f1o y el uso de fibras de Windows&#8221;.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1740827649_433_Mozilla-actualiza-los-terminos-de-Firefox-nuevamente-despues-de-una.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>CoffeeLoader, que se origin\u00f3 alrededor de septiembre de 2024, aprovecha un algoritmo de generaci\u00f3n de dominio (DGA) como un mecanismo respaldo en caso de que los canales de comando y control primarios (C2) se vuelvan inal\u00e1mbricos.<\/p>\n<p>Central del malware es un arsenal doblado Packer que ejecuta c\u00f3digo en la GPU de un sistema para complicar el an\u00e1lisis en entornos virtuales. Se ha nombrado as\u00ed debido al hecho de que se hace pasar por la leg\u00edtima <a rel=\"noopener nofollow\" href=\"https:\/\/rog.asus.com\/us\/content\/armoury-crate\/\" target=\"_blank\">Arsenal<\/a> utilidad desarrollada por ASUS.<\/p>\n<p>La secuencia de infecci\u00f3n comienza con un gotero que, entre otras cosas, intenta ejecutar una carga \u00fatil DLL llena de Armory (&#8220;armyaiAiosdk.dll&#8221; o &#8220;armarya.dll&#8221;) con privilegios elevados, pero no antes de intentar pasar por alto el control de la cuenta de usuario (UAC) si el gotero no tiene los permisos necesarios.<\/p>\n<p>El gotero tambi\u00e9n est\u00e1 dise\u00f1ado para establecer la persistencia en el host por medio de una tarea programada que est\u00e1 configurada para ejecutarse en el inicio de sesi\u00f3n del usuario con el nivel de ejecuci\u00f3n m\u00e1s alto o cada 10 minutos. Este paso es sucedido por la ejecuci\u00f3n de un componente Stager que, a su vez, carga el m\u00f3dulo principal.<\/p>\n<p>&#8220;El m\u00f3dulo principal implementa numerosas t\u00e9cnicas para evadir la detecci\u00f3n por antivirus (AV) y la detecci\u00f3n y respuesta del punto final (EDRS) que incluyen <a rel=\"noopener nofollow\" href=\"https:\/\/dtsec.us\/2023-09-15-StackSpoofin\/\" target=\"_blank\">Call Stack Spoofing<\/a>, <a rel=\"noopener nofollow\" href=\"https:\/\/dtsec.us\/2023-04-24-Sleep\/\" target=\"_blank\">ofuscaci\u00f3n del sue\u00f1o<\/a>y apalancamiento <a rel=\"noopener nofollow\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/procthread\/fibers\" target=\"_blank\">Fibras de Windows<\/a>&#8220;Dijo Stone Gross.<\/p>\n<p>Estos m\u00e9todos son capaces de fingir un <a rel=\"noopener nofollow\" href=\"https:\/\/en.wikipedia.org\/wiki\/Call_stack\" target=\"_blank\">pila de llamadas<\/a> a <a rel=\"noopener nofollow\" href=\"https:\/\/labs.withsecure.com\/publications\/spoofing-call-stacks-to-confuse-edrs\" target=\"_blank\">oscurecer el origen<\/a> de una funci\u00f3n de la funci\u00f3n y ofuscando la carga \u00fatil mientras est\u00e1 en un estado de sue\u00f1o, lo que le permite que el software de seguridad evite la detecci\u00f3n.<\/p>\n<p>El objetivo final de CoffeeLoader es contactar a un servidor C2 a trav\u00e9s de HTTPS para obtener el malware de la siguiente etapa. Esto incluye comandos para inyectar y ejecutar <a rel=\"noopener nofollow\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/technical-analysis-rhadamanthys-obfuscation-techniques\" target=\"_blank\">Rhadamanthys<\/a> shellcode.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/El-pico-de-Botnet-de-Vo1d-supera-a-159-millones.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>ZScaler dijo que identific\u00f3 una serie de puntos en com\u00fan entre CoffeeLoader y Smokeloader a nivel de c\u00f3digo fuente, lo que aumenta la posibilidad de que sea la pr\u00f3xima iteraci\u00f3n principal de este \u00faltimo, particularmente despu\u00e9s de un esfuerzo de aplicaci\u00f3n de la ley el a\u00f1o pasado que elimin\u00f3 su infraestructura.<\/p>\n<p>&#8220;Tambi\u00e9n hay similitudes notables entre Smokeloader y CoffeeLoader, y el primero distribuye el segundo, pero la relaci\u00f3n exacta entre las dos familias de malware a\u00fan no est\u00e1 clara&#8221;, dijo la compa\u00f1\u00eda.<\/p>\n<p>El desarrollo se produce como Seqrite Labs <a rel=\"noopener nofollow\" href=\"https:\/\/www.seqrite.com\/blog\/snakekeylogger-a-multistage-info-stealer-malware-campaign\/\" target=\"_blank\">detallado<\/a> Una campa\u00f1a de correo electr\u00f3nico de phishing para iniciar una cadena de infecciones de varias etapas que deja caer un malware que roba informaci\u00f3n llamado Snake Keylogger.<\/p>\n<p>Tambi\u00e9n sigue <a rel=\"noopener nofollow\" href=\"https:\/\/www.malwarebytes.com\/blog\/scams\/2025\/03\/amos-and-lumma-stealers-actively-spread-to-reddit-users\" target=\"_blank\">Otro grupo de actividad<\/a> Eso ha dirigido a los usuarios que participan en el comercio de criptomonedas a trav\u00e9s de Reddit publicaciones publicitarias versiones agrietadas de TradingView para enga\u00f1ar a los usuarios en la instalaci\u00f3n de robadores como Lumma y Atomic en los sistemas Windows y MacOS.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/coffeeloader-uses-gpu-based-armoury.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80228 de marzo de 2025\ue804Ravie LakshmananSeguridad de punto final \/ inteligencia de amenazas Los investigadores de ciberseguridad est\u00e1n<\/p>\n","protected":false},"author":1,"featured_media":1643152,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,20040,290043,4661,19772,290042,4664,34790,113464,28129,127717,273784,273783,4654,273782,4659,4653,4655,143449,18,246983,4665,246984,6984,455,239484],"class_list":["post-1643151","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-antivirus","tag-armory","tag-ataques-ciberneticos","tag-basado","tag-coffeeloader","tag-como-hackear","tag-deteccion","tag-edr","tag-evadir","tag-gpu","tag-las-noticias-del-hacker","tag-malware-de-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-packer","tag-para","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-utiliza","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1643151","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1643151"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1643151\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1643152"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1643151"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1643151"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1643151"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}