(https://i.imgur.com/IiEilam.png)
Los investigadores en ciberseguridad han identificado un nuevo malware sofisticado llamado CoffeeLoader, diseñado para descargar y ejecutar cargas útiles secundarias mientras evade las soluciones de seguridad. Según Zscaler ThreatLabz, este malware comparte similitudes con SmokeLoader, otro conocido cargador de malware.
Técnicas avanzadas de evasiónBrett Stone-Gross, director senior de inteligencia de amenazas en Zscaler, explicó que CoffeeLoader utiliza múltiples técnicas para evitar la detección por soluciones de seguridad como antivirus (AV) y Endpoint Detection and Response (EDR). Estas incluyen:
- Uso de un empaquetador especializado que aprovecha la GPU para dificultar el análisis.
- Suplantación de la pila de llamadas para ocultar el origen de las funciones ejecutadas.
- Ofuscación del sueño para evadir monitoreo de comportamiento.
- Empleo de Windows Fibers para alterar la ejecución del código.
Desde su aparición en septiembre de 2024, CoffeeLoader ha integrado un algoritmo de generación de dominios (DGA) como mecanismo de respaldo en caso de que los servidores de comando y control (C2) sean inaccesibles.
Método de infección y persistenciaLa infección comienza con un dropper que ejecuta una DLL empaquetada por Armoury (ArmouryAIOSDK.dll o ArmouryA.dll) con privilegios elevados. Si el dropper no cuenta con permisos suficientes, intentará eludir el Control de Cuentas de Usuario (UAC).
Para mantener la persistencia en el sistema, CoffeeLoader crea una tarea programada que se ejecuta al iniciar sesión o cada 10 minutos. Posteriormente, un stager carga el módulo principal, que implementa avanzadas técnicas de evasión.
Objetivo y vínculos con SmokeLoaderEl propósito final de CoffeeLoader es conectarse a un servidor C2 a través de HTTPS para recibir y ejecutar comandos maliciosos, como la inyección de shellcode de Rhadamanthys.
Zscaler encontró similitudes en el código entre CoffeeLoader y SmokeLoader, lo que sugiere que este nuevo malware podría ser su evolución tras la caída de su infraestructura en 2023. Sin embargo, la relación exacta entre ambas amenazas aún no está confirmada.
Campañas de distribución de malware relacionadasEl descubrimiento de CoffeeLoader coincide con otras amenazas recientes, como:
- Phishing masivo: Seqrite Labs detectó una campaña de correo electrónico malicioso diseñada para propagar el malware Snake Keylogger, capaz de robar credenciales y otra información sensible.
- Ataques a criptotraders: Un grupo de ciberdelincuentes ha utilizado publicaciones en Reddit para engañar a usuarios con versiones pirateadas de TradingView, distribuyendo malware como Lumma y Atomic en sistemas Windows y macOS.
Este avance resalta la creciente sofisticación de las amenazas cibernéticas y la importancia de implementar estrategias robustas de ciberseguridad para proteger sistemas y datos sensibles.
Fuente: https://thehackernews.com/