CoffeeLoader 利用基于 GPU 的 Armoury 打包器躲避 EDR 和杀毒软件检测

网络安全研究人员发现了一种名为 CoffeeLoader 的新型复杂恶意软件，其主要功能是下载并执行第二阶段的有效载荷。

据 Zscaler ThreatLabz 表示，CoffeeLoader 在行为上与已知的 SmokeLoader 恶意软件加载器存在相似之处。Zscaler 威胁情报高级总监 Brett Stone-Gross 在本周发布的一份技术分析报告中指出：“该恶意软件的目的是在躲避端点安全产品检测的同时，下载并执行第二阶段的有效载荷。”

为了绕过安全解决方案，CoffeeLoader 采用了多种技术，包括利用 GPU 的专用打包器、调用栈伪造、睡眠混淆以及使用 Windows 纤程。

CoffeeLoader 最早于 2024 年 9 月出现，它利用域名生成算法（DGA）作为备用机制，以防主要的命令与控制（C2）通道无法访问。该恶意软件的核心是一个名为 Armoury 的打包器，它通过在系统 GPU 上执行代码来增加虚拟环境中的分析难度。Armoury 因其伪装成华硕开发的合法 Armoury Crate 工具而得名。

感染过程始于一个下载器，它尝试以提升的权限执行由 Armoury 打包的 DLL 载荷（“ArmouryAIOSDK.dll”或“ArmouryA.dll”），但在执行之前，如果下载器没有必要的权限，它会尝试绕过用户账户控制（UAC）。此外，下载器还会通过设置计划任务在主机上建立持久性，该任务配置为在用户登录时以最高权限运行，或者每 10 分钟运行一次。随后，执行一个加载器组件，进而加载主模块。

Stone-Gross 表示：“主模块采用了多种技术来躲避杀毒软件（AV）和端点检测与响应（EDR）的检测，包括调用栈伪造、睡眠混淆以及利用 Windows 纤程。”这些方法能够伪造调用栈以掩盖函数调用的来源，并在有效载荷处于睡眠状态时进行混淆，从而使其能够躲避安全软件的检测。

CoffeeLoader 的最终目标是通过 HTTPS 联系 C2 服务器，以获取下一阶段的恶意软件，包括注入并执行 Rhadamanthys 壳代码的命令。

Zscaler 表示，在源代码层面，CoffeeLoader 与 SmokeLoader 存在诸多相似之处，这表明它可能是后者的一个重大迭代版本，尤其是在去年执法部门打击并摧毁了 SmokeLoader 的基础设施之后。该公司指出：“SmokeLoader 和 CoffeeLoader 之间还存在显著的相似性，前者分发后者，但两者之间的确切关系尚不清楚。”

这一发现正值 Seqrite Labs 详细披露了一起网络钓鱼邮件活动，该活动启动了一个多阶段感染链，投放了一种名为 Snake Keylogger 的信息窃取恶意软件。此外，近期还出现了一系列针对参与加密货币交易的用户发起的活动，通过在 Reddit 帖子中宣传破解版的 TradingView，诱骗用户安装 Windows 和 macOS 系统上的 Lumma 和 Atomic 等窃取器。

消息来源：The Hacker News；  

本文由 HackerNews.cc 翻译整理，封面来源于网络；