Опасный вредонос "CoffeeLoader" использует вашу видеокарту для обхода средств безопасности

Исследователи по безопасности Zscaler обнаружили новый загрузчик, используемый в различных кампаниях кражи информации. CoffeeLoader использует множество уловок, чтобы обойти защиту и сбросить дополнительные полезные нагрузки. Интересно, что он выполняет код на графическом процессоре (GPU) системы.

Исследователи по безопасности обнаружили опасный новый загрузчик вредоносных программ, который может уклоняться от традиционных решений для обнаружения и реагирования на конечные точки (EDR) хитрым и настораживающим способом. Исследователи из Zscaler ThreatLabz сообщили, что недавно наблюдали CoffeeLoader в дикой природе, описывая его как «сложный» загрузчик вредоносных программ.

Для уклонения от обнаружения CoffeeLoader использует ряд функций, включая подделку стека вызовов, маскировку сна и использование волокон Windows, заявили исследователи. Стек вызовов можно описать как цифровой след, который записывает, какие функции вызывала программа. Безопасные инструменты могут использовать стеки вызовов для отслеживания поведения программы и обнаружения подозрительной активности. Однако CoffeeLoader скрывает свои следы, подделывая ложный цифровой след.

Задача загрузчика вредоносных программ обычно заключается в проникновении в систему и выполнении или загрузке дополнительных вредоносных программ, таких как вымогательское ПО или шпионское ПО. Он действует как начальная стадия заражения, часто уклоняясь от обнаружения инструментами безопасности, прежде чем развернуть основную полезную нагрузку.

Маскировка сна делает код и данные вредоносного ПО зашифрованными, пока инструмент находится в режиме сна - таким образом, не зашифрованные артефакты вредоносного ПО присутствуют в памяти только во время выполнения кода. Zscaler описывает волокна Windows как «необычный и легкий механизм реализации многозадачности в пользовательском режиме». Волокна позволяют одной угрозе иметь несколько контекстов выполнения (волокон), которые приложение может переключать вручную. CoffeeLoader использует волокна Windows для реализации маскировки сна.

Но, пожалуй, наиболее тревожным аспектом загрузчика является Armoury, упаковщик, который выполняет код на GPU системы, что затрудняет анализ в виртуальных средах. «После того, как GPU выполнит функцию, буфер вывода с декодированным содержимым содержит самомодифицируемый шелл-код, который затем передается обратно на центральный процессор (CPU) для расшифровки и выполнения основного вредоносного ПО», - объяснили исследователи. «ThreatLabz наблюдал, как этот упаковщик использовался для защиты как SmokeLoader, так и CoffeeLoader».

Исследователи сообщили, что видели CoffeeLoader, используемый для развертывания шелл-кода Rhadamanthys, что означает его использование в кампаниях кражи информации.