ASUS на мушке: CoffeeLoader атакует под видом Armoury Crate

leer en español

CoffeeLoader ASUS Armoury Crate Rhadamanthys Windows Zscaler вредоносное ПО
ASUS на мушке: CoffeeLoader атакует под видом Armoury Crate
CoffeeLoader ASUS Armoury Crate Rhadamanthys Windows Zscaler вредоносное ПО

Хакеры перехватывают ресурсы GPU для скрытой установки инфостилеров.

image

На первый взгляд безобидное название нового вредоносного ПО CoffeeLoader может ввести в заблуждение. Под маской «кофейного» помощника скрывается продуманный механизм заражения Windows-устройств, способный обходить защиту антивирусов и внедрять опасные шпионские программы.

Исследователи компании Zscaler первыми зафиксировали активность новой вредоносной загрузки. По их оценке, CoffeeLoader появился ориентировочно в сентябре 2024 года. Главная цель — пользователи Windows, чьи компьютеры могут быть заражены под видом фирменной утилиты Armoury Crate от ASUS. Внедрившись в систему, CoffeeLoader загружает вредоносное ПО, в том числе известный инфостилер Rhadamanthys.

Разработчики вредоносной программы применили передовые методы, чтобы сделать её практически невидимой для антивирусных решений. Среди них — внедрение идей из арсенала «красных команд» (Red Team), которые используют их в целях тестирования защиты.

Одним из приёмов является использование собственной упаковки — Armoury Packer. Вредоносный код исполняется не через стандартный центральный процессор, а с помощью графического процессора. Это позволяет обойти типичную логику антивирусов, которые не отслеживают активность GPU.

Ещё один способ сокрытия — подделка стека вызовов. Обычно программы оставляют после себя последовательность функций, по которой можно отследить их действия. CoffeeLoader подменяет эту цепочку, чтобы выглядеть как легитимное приложение и не вызывать подозрений.

Кроме того, в арсенале вредоноса — техника Sleep Obfuscation. Когда он не активен, его код зашифрован и хранится в оперативной памяти в недоступной для анализа форме. Это не позволяет средствам защиты обнаружить признаки заражения даже при глубоком сканировании.

Дополнительным механизмом маскировки служит использование «волокон» Windows (Windows Fibers). Эта система позволяет одной нити выполнять сразу несколько задач без вмешательства операционной системы. CoffeeLoader может применять волокна, чтобы оставаться в состоянии «сна», незаметно переключаясь между задачами без активации защитных триггеров.

Некоторые эксперты обратили внимание на схожесть CoffeeLoader с известным ранее SmokeLoader. В декабре 2024 года создатели последнего якобы анонсировали выход обновлённой версии. Исследователи из Zscaler отмечают, что в CoffeeLoader реализованы функции, которые совпадают с заявленными в том релизе. Однако окончательные выводы о связи двух программ делать пока рано.

Появление CoffeeLoader иллюстрирует тенденцию к использованию всё более изощрённых техник сокрытия и обхода систем защиты. Пользователям стоит с осторожностью относиться к загрузке даже фирменного ПО и регулярно обновлять антивирусные базы, чтобы повысить шансы на обнаружение таких угроз.