28/03/25
Продуманный механизм заражения Windows-устройств, способен обходить защиту антивирусов и внедрять опасные шпионские программы.
Исследователи компании Zscaler первыми зафиксировали активность новой вредоносной загрузки. По их оценке, CoffeeLoader появился ориентировочно в сентябре 2024 года. Главная цель — пользователи Windows, чьи компьютеры могут быть заражены под видом фирменной утилиты Armoury Crate от ASUS. Внедрившись в систему, CoffeeLoader загружает вредоносное ПО, в том числе известный инфостилер Rhadamanthys, пишут в Securitylab.
Разработчики вредоносной программы применили передовые методы, чтобы сделать её практически невидимой для антивирусных решений. Среди них — внедрение идей из арсенала «красных команд» (Red Team), которые используют их в целях тестирования защиты.
Одним из приёмов является использование собственной упаковки — Armoury Packer. Вредоносный код исполняется не через стандартный центральный процессор, а с помощью графического процессора. Это позволяет обойти типичную логику антивирусов, которые не отслеживают активность GPU.
Ещё один способ сокрытия — подделка стека вызовов. Обычно программы оставляют после себя последовательность функций, по которой можно отследить их действия. CoffeeLoader подменяет эту цепочку, чтобы выглядеть как легитимное приложение и не вызывать подозрений.
Кроме того, в арсенале вредоноса — техника Sleep Obfuscation. Когда он не активен, его код зашифрован и хранится в оперативной памяти в недоступной для анализа форме. Это не позволяет средствам защиты обнаружить признаки заражения даже при глубоком сканировании.
Дополнительным механизмом маскировки служит использование «волокон» Windows ( Windows Fibers ). Эта система позволяет одной нити выполнять сразу несколько задач без вмешательства операционной системы. CoffeeLoader может применять волокна, чтобы оставаться в состоянии «сна», незаметно переключаясь между задачами без активации защитных триггеров.
Некоторые эксперты обратили внимание на схожесть CoffeeLoader с известным ранее SmokeLoader. В декабре 2024 года создатели последнего якобы анонсировали выход обновлённой версии. Исследователи из Zscaler отмечают, что в CoffeeLoader реализованы функции, которые совпадают с заявленными в том релизе. Однако окончательные выводы о связи двух программ делать пока рано.
