Potente malware usa empaquetador basado en GPU para burlar EDR y antivirus
Diversos investigadores de ciberseguridad están llamando la atención acerca de un nuevo malware sofisticado, llamado “CoffeeLoader”, diseñado para descargar y ejecutar cargas útiles secundarias. Según los expertos, el malware comparte similitudes de comportamiento con otro cargador de malware, conocido como “SmokeLoader”.
El propósito del malware es descargar y ejecutar cargas útiles de segunda etapa mientras evade la detección por productos de seguridad basados en endponts, han explicado los especialistas de seguridad informática, según informes técnicos publicados esta semana.
Este malware utiliza numerosas técnicas para eludir soluciones de seguridad, incluyendo un empaquetador especializado que utiliza la GPU, suplantación de la pila de llamadas, ofuscación mediante estados de suspensión y el uso de fibras de Windows.
“CoffeeLoader”, que surgió alrededor del mes de septiembre del año pasado, usa un algoritmo de generación de dominios o DGA, como mecanismo de respaldo en caso de que los canales principales de comando y control (C2) se vuelvan accesibles.
En el núcleo del malware se encuentra un empaquetador llamado “Armoury”, el cual ejecuta código en la GPU del sistema para complicar el análisis en entornos virtuales. Se le dio este nombre debido a que se hace pasar por la utilidad legítima “Armoury Create”, desarrollada por la compañía ASUS.
La secuencia de infección comienza con un dropper que, entre otras acciones, intenta ejecutar una carga útil tipo DLL empaquetada por “Armoury” con privilegios elevados, pero no sin antes intentar evadir el Control de Cuentas de Usuario, UAC, si no posee los permisos necesarios.
TIC Defense ofrece a tu empresa un conjunto de soluciones, productos, herramientas y servicios de última tecnología, los cuales previenen y dan respuesta rápida a cualquier intrusión o actividad sospechosa, perpetrada por hackers maliciosos. La infraestructura informática de tu organización va a estar 100% optimizada.
El dropper está diseñado también para establecer persistencia en el sistema anfitrión mediante una tarea programada, que se configura para ejecutarse al iniciar sesión el usuario con el nivel más alto de ejecución o cada 10 minutos. Esta etapa es seguida por la ejecución de un componente de preparación “stager” que, a su vez, carga el módulo principal.
El módulo principal implementa numerosas técnicas para evadir la detección por antivirus (AV) y soluciones de Detección y Respuesta de Endpoints o EDR, incluyendo la suplantación de la pila de llamadas, la ofuscación durante los estados de suspensión y el aprovechamiento de fibras de Windows, según los expertos.
Estos métodos son capaces de falsificar una pila de llamadas para ocultar el origen de una llamada a función de ofuscar la carga útil mientras se encuentra en un estado de suspensión, permitiéndole así esquivar la detección por software de seguridad.
El objetivo final del malware “CoffeeLoader” es contactar un servidor C2 mediante HTTPS para obtener el malware de la siguiente etapa. Esto incluye órdenes para inyectar y ejecutar shellcode de “Rhadamanthys”.
Los especialistas han indicado que identificaron una serie de similitudes en el nivel de código fuente entre “CoffeeLoader” y “SmokeLoader”, lo que plantea la posibilidad de que el primero sea la siguiente gran iteración del segundo, especialmente después de los esfuerzos de las fuerzas del orden el año pasado que desmantelaron su infraestructura.
Además, sigue a otro grupo de actividades que ha estado dirigido a usuarios que participan en el comercio de criptomonedas, mediante publicaciones en Reddit que anuncian versiones crackeadas de TradingView para engañarlos e instalar stealers como “Luma” y “Atomic”, en sistemas Windows y macOS.
