Les chercheurs en cybersécurité attirent l’attention sur un nouveau malware sophistiqué appelé Coffeeoader qui est conçu pour télécharger et exécuter les charges utiles secondaires.
Le malware, selon Zscaler ThreatLabz, partage des similitudes comportementales avec un autre chargeur de logiciel malveillant connu connu sous le nom de smokeloader.
“Le but du logiciel malveillant est de télécharger et d’exécuter des charges utiles de deuxième étape tout en échappant à la détection par des produits de sécurité basés sur les points de terminaison”, Brett Stone-Gross, directeur principal de la renseignement des menaces chez ZSCaler, dit Dans une rédaction technique publiée cette semaine.
“Le malware utilise de nombreuses techniques pour contourner les solutions de sécurité, y compris un packer spécialisé qui utilise le GPU, l’usurpation de pile d’appels, l’obscurcissement du sommeil et l’utilisation de fibres de fenêtres.”
Coffeoader, qui est originaire de septembre 2024, tire parti d’un algorithme de génération de domaine (DGA) en tant que mécanisme de secours au cas où les canaux principaux de commandement et de contrôle (C2) deviennent inaccessibles.
Central to the Malware se trouve un packer surnommé à l’armurerie qui exécute le code sur le GPU d’un système pour compliquer l’analyse dans des environnements virtuels. Il a été ainsi nommé en raison du fait qu’il se fait l’identité du légitime Caisse d’armurerie Utilité développée par ASUS.
La séquence d’infection commence par un compte-gouttes qui, entre autres, tente d’exécuter une charge utile DLL emballée par l’armurerie (“armouryaiosdk.dll” ou “armourya.dll”) avec des privilèges élevés, mais pas avant d’essayer de contourner le contrôle du compte utilisateur (UAC) si le dropper n’a pas les autorisations nécessaires.
Le compte-gouttes est également conçu pour établir la persistance sur l’hôte au moyen d’une tâche planifiée configurée pour exécuter soit lors de la connexion de l’utilisateur avec le niveau d’exécution le plus élevé ou toutes les 10 minutes. Cette étape est succédé par l’exécution d’un composant Stager qui, à son tour, charge le module principal.
“Le module principal met en œuvre de nombreuses techniques pour échapper à la détection par l’antivirus (AV) et la détection et la réponse (EDR), y compris usurpation de pile d’appels, obscurcir le sommeilet en tirant parti Fibres Windows», A déclaré Stone-Gross.
Ces méthodes sont capables de simuler un pile d’appels à obscurcir l’origine d’un appel de fonction et obscurcissant la charge utile pendant qu’il est dans un état de sommeil, lui permettant ainsi de contourner la détection par le logiciel de sécurité.
L’objectif ultime de CoffeELODER est de contacter un serveur C2 via HTTPS afin d’obtenir le malware malveillant. Cela inclut les commandes pour injecter et exécuter Rhadamanthys shellcode.
Zscaler a déclaré avoir identifié un certain nombre de points communs entre Coffeeoader et SmokeLoader au niveau du code source, ce qui augmente la possibilité que ce soit la prochaine itération majeure de ce dernier, en particulier à la suite d’un effort d’application de la loi l’année dernière qui a abattu son infrastructure.
“Il existe également des similitudes notables entre SmokeLoader et Coffeeoader, le premier distribuant le second, mais la relation exacte entre les deux familles de logiciels malveillants n’est pas encore claire”, a déclaré la société.
Le développement vient sous le nom de SEQRITE LABS détaillé Une campagne d’e-mail de phishing pour lancer une chaîne d’infection en plusieurs étapes qui laisse tomber un logiciel malveillant de volet d’informations appelé Snake Keylogger.
Il suit aussi Un autre groupe d’activités Cela a ciblé les utilisateurs qui s’engagent dans le trading des crypto-monnaies via des publications Reddit publicités versions fissurées de TradingView pour inciter les utilisateurs à installer des voleurs comme Lumma et Atomic sur Windows et MacOS Systems.



