Сегодня 09 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Обнаружен вредоносный загрузчик CoffeeLoader — он прячется от антивирусов на видеокарте и прибегает к другим уловкам

Обнаружена опасная программа CoffeeLoader — загрузчик вредоносного ПО, который скрывается от антивирусного программного обеспечения, используя набор хитроумных методов, вплоть до выполнения на видеокарте. Её обнаружили эксперты в области кибербезопасности компании Zscaler ThreatLabz.

 Источник изображения: threatlabz.zscaler.com

Источник изображения: threatlabz.zscaler.com

Чтобы оставаться незамеченным, CoffeeLoader прибегает сразу к нескольким ухищрениям: подменяет стек вызовов, использует обфускацию сна и применяет пользовательские потоки Windows. Стек вызовов можно описать как «хлебные крошки», в которых записывается, какие функции вызывала программа. Средства безопасности проверяют их, чтобы отследить поведение программы и выявить вредоносную активность, но CoffeeLoader подменяет эти «хлебные крошки», маскируя своё присутствие.

Обычно задача загрузчика вредоносного ПО состоит в том, чтобы проникнуть в систему и загрузить вредоносные программы — например, вымогатели или шпионское ПО. Обфускация сна помогает сделать код и данные вредоносного ПО зашифрованными, пока оно неактивно, то есть находится в состоянии сна. В незашифрованном виде фрагменты вредоносного кода появляются в памяти только при его выполнении. Для этого программа использует пользовательские потоки (fibers) Windows — контексты выполнения, переключение между которыми производится вручную.

Однако наиболее тревожным аспектом CoffeeLoader оказался упаковщик Armoury, код которого выполняется на графическом процессоре, что затрудняет его анализ в виртуальных средах. «После того как графический процессор выполняет функцию, декодированный выходной буфер содержит самомодифицирующийся шелл-код, который затем передаётся в центральный процессор для расшифровки и выполнения основной вредоносной программы», — сообщили в Zscaler ThreatLabz. Этот упаковщик используется для защиты полезных нагрузок у SmokeLoader и CoffeeLoader. На практике CoffeeLoader применялся для развёртывания шелл-кода Rhadamanthys в кампаниях по краже информации.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Госдума поддержала уголовное наказание за незаконное обращение криптовалюты в России — до 7 лет тюрьмы 3 мин.
Госдума приняла закон о регулировании ИИ — он требует, чтобы модели соответствовали «традиционным духовно-нравственным ценностям» 2 ч.
С выходом дополнения Revelations из Doom: The Dark Ages наконец вырезали Denuvo 3 ч.
Появился сервис по очистке программного кода от ИИ-мусора — за $10 000 его сделают в разы компактнее 6 ч.
Вставка из буфера обмена резко ускорилась в Chrome и Edge 7 ч.
Система модерации на основе ИИ сервиса Discord ошибочно заблокировала более 8000 безобидных аккаунтов 8 ч.
В «Google Фото» появился ИИ-видеоредактор Video Remix на базе Gemini Omni 12 ч.
«Яндекс» открыл всем водителям карту очередей на заправках в России 12 ч.
Google назвала дату окончательного отключения старых расширений Chrome — под удар попадут и блокировщики рекламы 12 ч.
Доля Windows среди настольных ОС впервые упала ниже 60 % — но статистика вызывает вопросы 13 ч.
Xiaomi раскрыла внешность своего огромного гибридного внедорожника Sky Nomad N90 16 мин.
Власти США потребовали от разработчиков беспилотных автомобилей перестать мешать экстренным службам 17 мин.
Китайцы научились следить за активностью пользователя в смартфоне без взлома — по электромагнитным утечкам 20 мин.
Дефицит памяти душит мировой рынок ПК: поставки рухнули на 5 % за второй квартал 25 мин.
Учёные создали недорогую экзоперчатку, возвращающую хват людям с параличом кисти 52 мин.
Новая статья: Обзор планшета HUAWEI MatePad Pro Max: на все деньги 54 мин.
Как Xbox проиграл свою игру: ставка на Game Pass закончилась массовыми увольнениями 59 мин.
За акциями SK hynix в США выстроилась огромная очередь — спрос превысил предложение в семь раз 2 ч.
Россияне стали звонить и писать SMS на 30–60 % чаще из-за ограничений мобильного интернета и блокировок мессенджеров 2 ч.
Экспансия беспилотных такси ускорилась: машины Waymo начнут работу ещё в четырёх городах США 2 ч.