Pesquisadores de cibersegurança estão alertando sobre um novo malware sofisticado chamado CoffeeLoader, projetado para baixar e executar payloads secundários (secondary payloads).
O malware, de acordo com o Zscaler ThreatLabz, compartilha semelhanças comportamentais com outro loader de malware conhecido como SmokeLoader.
"O objetivo do malware é baixar e executar payloads de segunda fase enquanto evita a detecção por produtos de segurança baseados em endpoint," disse Brett Stone-Gross, diretor sênior de inteligência de ameaças em Zscaler, em um artigo técnico publicado esta semana.
O malware utiliza várias técnicas para contornar soluções de segurança, incluindo um packer especializado que utiliza a GPU, spoofing de call stack, obfuscação de sleep e o uso de Windows fibers.
CoffeeLoader, que surgiu por volta de setembro de 2024, utiliza um algoritmo de geração de domínio (DGA) como mecanismo de fallback caso os canais primários de comando e controle (C2) se tornem inacessíveis.
Central para o malware é um packer apelidado de Armoury que executa código na GPU de um sistema para complicar a análise em ambientes virtuais.
Ele foi assim nomeado pelo fato de que se faz passar pela legítima utilidade Armoury Crate desenvolvida pela ASUS.
A sequência de infecção começa com um dropper que, entre outras coisas, tenta executar um payload DLL empacotado por Armoury ("ArmouryAIOSDK.dll" ou "ArmouryA.dll") com privilégios elevados, mas não antes de tentar contornar o Controle de Conta de Usuário (UAC) se o dropper não tiver as permissões necessárias.
O dropper também é projetado para estabelecer persistência no host por meio de uma tarefa agendada configurada para rodar ou no logon do usuário com o nível de execução mais alto ou a cada 10 minutos.
Este passo é sucedido pela execução de um componente stager que, por sua vez, carrega o módulo principal.
"O módulo principal implementa várias técnicas para evitar detecção por antivírus (AV) e Endpoint Detection and Response (EDRs) incluindo spoofing de call stack, obfuscação de sleep e aproveitando Windows Fibers," disse Stone-Gross.
Estes métodos são capazes de forjar um call stack para obscurecer a origem de uma chamada de função e obfuscar o payload enquanto está em um estado de sleep, permitindo assim que ela evite a detecção por software de segurança.
O objetivo final do CoffeeLoader é contatar um servidor C2 via HTTPS para obter o malware da próxima fase.
Isso inclui comandos para injetar e executar shellcode Rhadamanthys.
Zscaler disse que identificou várias semelhanças entre CoffeeLoader e SmokeLoader no nível do código-fonte, levantando a possibilidade de que possa ser a próxima iteração importante deste último, especialmente após um esforço de aplicação da lei no ano passado que desmantelou sua infraestrutura.
"Também há semelhanças notáveis entre SmokeLoader e CoffeeLoader, com o primeiro distribuindo o segundo, mas a relação exata entre as duas famílias de malware ainda não está clara," disse a empresa.
Este desenvolvimento ocorre enquanto a Seqrite Labs detalhava uma campanha de e-mail phishing para iniciar uma cadeia de infecção multi-estágio que solta um malware de roubo de informações chamado Snake Keylogger.
Isso também segue outro aglomerado de atividades que tem como alvo usuários envolvidos em negociação de criptomoedas através de posts no Reddit anunciando versões crackeadas do TradingView para enganar usuários a instalar ladrões como Lumma e Atomic em sistemas Windows e macOS.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...