Специалисты по кибербезопасности из Zscaler ThreatLabz выявили новый скрытный загрузчик вредоносных программ — CoffeeLoader. Этот угроза использует сложные техники маскировки, включая выполнение кода на видеокарте, чтобы избежать обнаружения.
Зловред применяет комбинацию методов, затрудняющих анализ:
- Подмена стека вызовов — искажает «следы» работы программы, которые обычно проверяют системы защиты.
- Обфускация сна — держит код зашифрованным в состоянии покоя, расшифровывая его только во время выполнения.
- Пользовательские потоки Windows (fibers) — позволяет вручную переключать контексты выполнения, усложняя отслеживание.
Основная задача загрузчика — доставка вредоносных программ, таких как вымогатели или шпионские модули. Но его главная особенность — упаковщик Armoury, который переносит часть кода на графический процессор (GPU).
«После обработки на GPU, декодированный буфер содержит самоизменяющийся шелл-код, который затем передаётся на CPU для расшифровки и запуска основной вредоносной нагрузки», — поясняют эксперты Zscaler.
Эта техника осложняет анализ в виртуальных средах и уже использовалась для распространения информационного вора Rhadamanthys через связку с SmokeLoader и CoffeeLoader.
CoffeeLoader демонстрирует, как современные угрозы эволюционируют, используя нестандартные методы для обхода защиты. Компаниям стоит усилить мониторинг необычной активности, включая аномальную загрузку GPU.
Мы разрабатываем, внедряем и администрируем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Мы призываем к сотрудничеству компании, которые хотят сохранить безопасность баз данных, бизнес-процессов и другой важной информации.
Оставьте свой контакт на нашей главной странице и мы поможем вам с любым вопросом! Или позвоните сами :)
+7 (343) 222-13-32 — Екатеринбург
+7 978 214 29 87 — Севастополь
+7 978 214 29 87 — Севастополь