Los expertos en ciberseguridad están destacando un nuevo malware avanzado denominado CoffeeLoader, diseñado para descargar y ejecutar cargas útiles secundarias.
Según Zscaler ThreatLabz, este malware muestra comportamientos similares a los de otro cargador de malware conocido como SmokeLoader.
“El objetivo de CoffeeLoader es descargar y ejecutar cargas útiles de segunda etapa, mientras evade la detección por soluciones de seguridad basadas en endpoints”, explicó Brett Stone-Gross, director sénior de inteligencia de amenazas en Zscaler, en un artículo técnico publicado recientemente.
El malware emplea diversas técnicas para eludir las medidas de seguridad, como el uso de un empaquetador especializado que aprovecha la GPU, la suplantación de la pila de llamadas, la ofuscación del sistema y el uso de fibras de Windows.
Originado alrededor de septiembre de 2024, CoffeeLoader utiliza un algoritmo de generación de dominio (DGA) como respaldo en caso de que los canales principales de comando y control (C2) no estén disponibles.
El núcleo del malware es un empaquetador llamado Armoury, que ejecuta código en la GPU del sistema, dificultando el análisis en entornos virtuales. Este empaquetador recibe su nombre debido a que suplanta la utilidad legítima Armoury Crate, creada por ASUS.
La infección comienza con un gotero que intenta ejecutar una DLL empaquetada por Armoury (“ArmouryAIOSDK.dll” o “ArmouryA.dll”) con privilegios elevados, aunque primero intentará eludir el Control de Cuentas de Usuario (UAC) si el gotero no tiene los permisos necesarios.
El gotero también establece persistencia en el host mediante una tarea programada que se ejecuta al iniciar sesión el usuario con el nivel de ejecución más alto o cada 10 minutos. Luego, se ejecuta un componente de prueba que, a su vez, carga el módulo principal.
“El módulo principal emplea varias técnicas para evitar ser detectado por antivirus (AV) y soluciones de Endpoint Detection and Response (EDR), como la suplantación de la pila de llamadas, la ofuscación durante el sueño y el uso de fibras de Windows”, agregó Stone-Gross.
Estas tácticas permiten falsificar la pila de llamadas para ocultar el origen de una función y ofuscar la carga útil mientras está suspendida, lo que le ayuda a eludir la detección del software de seguridad.
El objetivo final de CoffeeLoader es conectarse con un servidor C2 mediante HTTPS para descargar el malware de siguiente etapa, que incluye instrucciones para inyectar y ejecutar el shellcode de Rhadamanthys.
Zscaler indicó que han identificado varios puntos en común entre CoffeeLoader y SmokeLoader a nivel de código, lo que sugiere que CoffeeLoader podría ser una nueva versión de SmokeLoader, especialmente después de un operativo policial el año pasado que derribó su infraestructura.
“También encontramos similitudes significativas entre SmokeLoader y CoffeeLoader, ya que el primero distribuye a CoffeeLoader, pero aún no está claro cuál es la relación exacta entre ambos tipos de malware”, declaró la compañía.
Este desarrollo sigue después de que Seqrite Labs informara sobre una campaña de phishing por correo electrónico que da inicio a una cadena de infecciones de múltiples etapas, que distribuye un malware llamado Snake Keylogger para robar información.
Además, se ha detectado un grupo de actividades dirigido a usuarios de criptomonedas, a través de publicaciones en Reddit que promocionan versiones pirateadas de TradingView para engañar a los usuarios e inducirles a instalar ladrones como Lumma y Atomic en sistemas Windows y macOS.
Fuente: thehackernews.com
