{"id":1599696,"date":"2025-03-28T11:29:38","date_gmt":"2025-03-28T13:29:38","guid":{"rendered":"https:\/\/teknomers.com\/fr\/coodeloader-utilise-un-packer-darmure-a-base-de-gpu-pour-echapper-a-la-detection-dedr-et-dantivirus\/"},"modified":"2025-03-28T11:29:43","modified_gmt":"2025-03-28T13:29:43","slug":"coodeloader-utilise-un-packer-darmure-a-base-de-gpu-pour-echapper-a-la-detection-dedr-et-dantivirus","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/coodeloader-utilise-un-packer-darmure-a-base-de-gpu-pour-echapper-a-la-detection-dedr-et-dantivirus\/","title":{"rendered":"Coodeloader utilise un packer d&#8217;armure \u00e0 base de gpu pour \u00e9chapper \u00e0 la d\u00e9tection d&#8217;EDR et d&#8217;antivirus"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">28 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 des terminaux \/ renseignements sur les menaces<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Coodeloader-utilise-un-packer-darmure-a-base-de-gpu-pour.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 attirent l&#8217;attention sur un nouveau malware sophistiqu\u00e9 appel\u00e9 <strong>Coffeeoader<\/strong> qui est con\u00e7u pour t\u00e9l\u00e9charger et ex\u00e9cuter les charges utiles secondaires.<\/p>\n<p>Le malware, selon Zscaler ThreatLabz, partage des similitudes comportementales avec un autre chargeur de logiciel malveillant connu connu sous le nom de smokeloader. <\/p>\n<p>&#8220;Le but du logiciel malveillant est de t\u00e9l\u00e9charger et d&#8217;ex\u00e9cuter des charges utiles de deuxi\u00e8me \u00e9tape tout en \u00e9chappant \u00e0 la d\u00e9tection par des produits de s\u00e9curit\u00e9 bas\u00e9s sur les points de terminaison&#8221;, Brett Stone-Gross, directeur principal de la renseignement des menaces chez ZSCaler, <a rel=\"noopener nofollow\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/coffeeloader-brew-stealthy-techniques\" target=\"_blank\">dit<\/a> Dans une r\u00e9daction technique publi\u00e9e cette semaine.<\/p>\n<p>&#8220;Le malware utilise de nombreuses techniques pour contourner les solutions de s\u00e9curit\u00e9, y compris un packer sp\u00e9cialis\u00e9 qui utilise le GPU, l&#8217;usurpation de pile d&#8217;appels, l&#8217;obscurcissement du sommeil et l&#8217;utilisation de fibres de fen\u00eatres.&#8221;<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Coffeoader, qui est originaire de septembre 2024, tire parti d&#8217;un algorithme de g\u00e9n\u00e9ration de domaine (DGA) en tant que m\u00e9canisme de secours au cas o\u00f9 les canaux principaux de commandement et de contr\u00f4le (C2) deviennent inaccessibles.<\/p>\n<p>Central to the Malware se trouve un packer surnomm\u00e9 \u00e0 l&#8217;armurerie qui ex\u00e9cute le code sur le GPU d&#8217;un syst\u00e8me pour compliquer l&#8217;analyse dans des environnements virtuels. Il a \u00e9t\u00e9 ainsi nomm\u00e9 en raison du fait qu&#8217;il se fait l&#8217;identit\u00e9 du l\u00e9gitime <a rel=\"noopener nofollow\" href=\"https:\/\/rog.asus.com\/us\/content\/armoury-crate\/\" target=\"_blank\">Caisse d&#8217;armurerie<\/a> Utilit\u00e9 d\u00e9velopp\u00e9e par ASUS.<\/p>\n<p>La s\u00e9quence d&#8217;infection commence par un compte-gouttes qui, entre autres, tente d&#8217;ex\u00e9cuter une charge utile DLL emball\u00e9e par l&#8217;armurerie (&#8220;armouryaiosdk.dll&#8221; ou &#8220;armourya.dll&#8221;) avec des privil\u00e8ges \u00e9lev\u00e9s, mais pas avant d&#8217;essayer de contourner le contr\u00f4le du compte utilisateur (UAC) si le dropper n&#8217;a pas les autorisations n\u00e9cessaires.<\/p>\n<p>Le compte-gouttes est \u00e9galement con\u00e7u pour \u00e9tablir la persistance sur l&#8217;h\u00f4te au moyen d&#8217;une t\u00e2che planifi\u00e9e configur\u00e9e pour ex\u00e9cuter soit lors de la connexion de l&#8217;utilisateur avec le niveau d&#8217;ex\u00e9cution le plus \u00e9lev\u00e9 ou toutes les 10 minutes. Cette \u00e9tape est succ\u00e9d\u00e9 par l&#8217;ex\u00e9cution d&#8217;un composant Stager qui, \u00e0 son tour, charge le module principal.<\/p>\n<p>&#8220;Le module principal met en \u0153uvre de nombreuses techniques pour \u00e9chapper \u00e0 la d\u00e9tection par l&#8217;antivirus (AV) et la d\u00e9tection et la r\u00e9ponse (EDR), y compris <a rel=\"noopener nofollow\" href=\"https:\/\/dtsec.us\/2023-09-15-StackSpoofin\/\" target=\"_blank\">usurpation de pile d&#8217;appels<\/a>, <a rel=\"noopener nofollow\" href=\"https:\/\/dtsec.us\/2023-04-24-Sleep\/\" target=\"_blank\">obscurcir le sommeil<\/a>et en tirant parti <a rel=\"noopener nofollow\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/procthread\/fibers\" target=\"_blank\">Fibres Windows<\/a>\u00bb, A d\u00e9clar\u00e9 Stone-Gross.<\/p>\n<p>Ces m\u00e9thodes sont capables de simuler un <a rel=\"noopener nofollow\" href=\"https:\/\/en.wikipedia.org\/wiki\/Call_stack\" target=\"_blank\">pile d&#8217;appels<\/a> \u00e0 <a rel=\"noopener nofollow\" href=\"https:\/\/labs.withsecure.com\/publications\/spoofing-call-stacks-to-confuse-edrs\" target=\"_blank\">obscurcir l&#8217;origine<\/a> d&#8217;un appel de fonction et obscurcissant la charge utile pendant qu&#8217;il est dans un \u00e9tat de sommeil, lui permettant ainsi de contourner la d\u00e9tection par le logiciel de s\u00e9curit\u00e9.<\/p>\n<p>L&#8217;objectif ultime de CoffeELODER est de contacter un serveur C2 via HTTPS afin d&#8217;obtenir le malware malveillant. Cela inclut les commandes pour injecter et ex\u00e9cuter <a rel=\"noopener nofollow\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/technical-analysis-rhadamanthys-obfuscation-techniques\" target=\"_blank\">Rhadamanthys<\/a> shellcode.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Zscaler a d\u00e9clar\u00e9 avoir identifi\u00e9 un certain nombre de points communs entre Coffeeoader et SmokeLoader au niveau du code source, ce qui augmente la possibilit\u00e9 que ce soit la prochaine it\u00e9ration majeure de ce dernier, en particulier \u00e0 la suite d&#8217;un effort d&#8217;application de la loi l&#8217;ann\u00e9e derni\u00e8re qui a abattu son infrastructure.<\/p>\n<p>&#8220;Il existe \u00e9galement des similitudes notables entre SmokeLoader et Coffeeoader, le premier distribuant le second, mais la relation exacte entre les deux familles de logiciels malveillants n&#8217;est pas encore claire&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9.<\/p>\n<p>Le d\u00e9veloppement vient sous le nom de SEQRITE LABS <a rel=\"noopener nofollow\" href=\"https:\/\/www.seqrite.com\/blog\/snakekeylogger-a-multistage-info-stealer-malware-campaign\/\" target=\"_blank\">d\u00e9taill\u00e9<\/a> Une campagne d&#8217;e-mail de phishing pour lancer une cha\u00eene d&#8217;infection en plusieurs \u00e9tapes qui laisse tomber un logiciel malveillant de volet d&#8217;informations appel\u00e9 Snake Keylogger.<\/p>\n<p>Il suit aussi <a rel=\"noopener nofollow\" href=\"https:\/\/www.malwarebytes.com\/blog\/scams\/2025\/03\/amos-and-lumma-stealers-actively-spread-to-reddit-users\" target=\"_blank\">Un autre groupe d&#8217;activit\u00e9s<\/a> Cela a cibl\u00e9 les utilisateurs qui s&#8217;engagent dans le trading des crypto-monnaies via des publications Reddit publicit\u00e9s versions fissur\u00e9es de TradingView pour inciter les utilisateurs \u00e0 installer des voleurs comme Lumma et Atomic sur Windows et MacOS Systems.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/coffeeloader-uses-gpu-based-armoury.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80228 mars 2025\ue804Ravie LakshmananS\u00e9curit\u00e9 des terminaux \/ renseignements sur les menaces Les chercheurs en cybers\u00e9curit\u00e9 attirent l&#8217;attention sur un nouveau malware sophistiqu\u00e9 appel\u00e9 Coffeeoader qui est con\u00e7u pour t\u00e9l\u00e9charger et ex\u00e9cuter les charges utiles secondaires. Le malware, selon Zscaler ThreatLabz, partage des similitudes comportementales avec un autre chargeur de logiciel malveillant connu connu sous le [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1599697,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,3283,4168,290504,79002,274264,4161,274263,6124,290505,279881,113295,41161,21314,127095,274267,4160,142664,185,238617,246491,4172,79016,1282,4166,4164],"class_list":["post-1599696","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-base","tag-comment-pirater","tag-coodeloader","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-dantivirus","tag-darmure","tag-dedr","tag-detection","tag-echapper","tag-gpu","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-packer","tag-pour","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1599696","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1599696"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1599696\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1599697"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1599696"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1599696"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1599696"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}