详细内容或原文请订阅后点击阅览
Coffeeloader使用基于GPU的包装器逃避检测
Coffeeloader是一款复杂的恶意软件,使用许多技术绕过安全解决方案,Zscaler thrantlabz警告。 Zscaler thrantlabz发现了自2024年9月以来活跃的恶意软件家族Coffeeloader,它使用多种技术在下载第二阶段有效载荷时逃避端点安全性。恶意软件使用的先进技术包括基于GPU的包装,呼叫堆栈欺骗,睡眠糊状和[…]
来源:Security Affairs _恶意软件Coffeeloader使用基于GPU的包装器逃避检测
Coffeeloader是一款复杂的恶意软件,使用许多技术绕过安全解决方案,Zscaler thrantlabz警告。
Zscaler thrantlabz自2024年9月以来发现了一个恶意软件家族的科夫洛德(Coffeeloader),它使用多种技术来逃避端点安全性,同时下载第二阶段有效载荷。恶意软件使用的先进技术包括基于GPU的包装,呼叫堆栈欺骗,睡眠混淆和Windows纤维。 Coffeeloader是通过烟雾加载器分发的,它与之共享行为相似之处。
吸烟“ Coffeeloader实现了许多功能,以击败端点安全软件,例如呼叫堆栈欺骗,睡眠混淆和使用Windows纤维的使用。”阅读Zscaler发布的报告。 “装载机利用了我们命名为Armory的包装器,该包装器在系统的GPU上执行代码以阻碍虚拟环境中的分析。”
报告coffeeloader使用域的生成算法(DGA)。
威胁性研究人员报告说,该恶意软件被用于部署rhadamanthys信息企业。
rhadamanthys样品受到独特的恶意软件包装工的保护,该唯一的恶意软件包装器利用系统的GPU执行代码,从而使在虚拟环境中进行分析更加困难。专家一直在跟踪该包装工作为军械库,因为它模仿了华硕开发的合法军械库板条箱公用事业。
军械库 军械库板条Coffeeloader Dropper执行安装例程,多个变体实现了不同的功能。一个版本将包装的DLL(Armouryaiosdk.dll)复制到用户的温度目录,并通过Rundll32.Exe执行它,使用直接执行(带有提高特权)或UAC旁路(如果未升高)。研究人员指出,这种变体不能保持持久性。
Armouryaiosdk.dll rundll32.exe asusupdateserviceua schtasks.exe dllhost.exe ntallocateVirtualMemory ntProtectVirtualMemory Facebook (