ASUS на мушке: CoffeeLoader атакует под видом Armoury Crate

На первый взгляд безобидное название нового вредоносного ПО CoffeeLoader может ввести в заблуждение. Под маской «кофейного» помощника скрывается продуманный механизм заражения Windows-устройств, способный обходить защиту антивирусов и внедрять опасные шпионские программы.

Исследователи компании Zscaler первыми зафиксировали активность новой вредоносной загрузки. По их оценке, CoffeeLoader появился ориентировочно в сентябре 2024 года. Главная цель — пользователи Windows, чьи компьютеры могут быть заражены под видом фирменной утилиты Armoury Crate от ASUS. Внедрившись в систему, CoffeeLoader загружает вредоносное ПО, в том числе известный инфостилер Rhadamanthys.

Разработчики вредоносной программы применили передовые методы, чтобы сделать её практически невидимой для антивирусных решений. Среди них — внедрение идей из арсенала «красных команд» (Red Team), которые используют их в целях тестирования защиты.

Одним из приёмов является использование собственной упаковки — Armoury Packer. Вредоносный код исполняется не через стандартный центральный процессор, а с помощью графического процессора. Это позволяет обойти типичную логику антивирусов, которые не отслеживают активность GPU.

Ещё один способ сокрытия — подделка стека вызовов. Обычно программы оставляют после себя последовательность функций, по которой можно отследить их действия. CoffeeLoader подменяет эту цепочку, чтобы выглядеть как легитимное приложение и не вызывать подозрений.

Кроме того, в арсенале вредоноса — техника Sleep Obfuscation. Когда он не активен, его код зашифрован и хранится в оперативной памяти в недоступной для анализа форме. Это не позволяет средствам защиты обнаружить признаки заражения даже при глубоком сканировании.

Дополнительным механизмом маскировки служит использование «волокон» Windows ( Windows Fibers ). Эта система позволяет одной нити выполнять сразу несколько задач без вмешательства операционной системы. CoffeeLoader может применять волокна, чтобы оставаться в состоянии «сна», незаметно переключаясь между задачами без активации защитных триггеров.

Некоторые эксперты обратили внимание на схожесть CoffeeLoader с известным ранее SmokeLoader. В декабре 2024 года создатели последнего якобы анонсировали выход обновлённой версии. Исследователи из Zscaler отмечают, что в CoffeeLoader реализованы функции, которые совпадают с заявленными в том релизе. Однако окончательные выводы о связи двух программ делать пока рано.

Появление CoffeeLoader иллюстрирует тенденцию к использованию всё более изощрённых техник сокрытия и обхода систем защиты. Пользователям стоит с осторожностью относиться к загрузке даже фирменного ПО и регулярно обновлять антивирусные базы, чтобы повысить шансы на обнаружение таких угроз.