Сегодня 01 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Обнаружен вредоносный загрузчик CoffeeLoader — он прячется от антивирусов на видеокарте и прибегает к другим уловкам

Обнаружена опасная программа CoffeeLoader — загрузчик вредоносного ПО, который скрывается от антивирусного программного обеспечения, используя набор хитроумных методов, вплоть до выполнения на видеокарте. Её обнаружили эксперты в области кибербезопасности компании Zscaler ThreatLabz.

 Источник изображения: threatlabz.zscaler.com

Источник изображения: threatlabz.zscaler.com

Чтобы оставаться незамеченным, CoffeeLoader прибегает сразу к нескольким ухищрениям: подменяет стек вызовов, использует обфускацию сна и применяет пользовательские потоки Windows. Стек вызовов можно описать как «хлебные крошки», в которых записывается, какие функции вызывала программа. Средства безопасности проверяют их, чтобы отследить поведение программы и выявить вредоносную активность, но CoffeeLoader подменяет эти «хлебные крошки», маскируя своё присутствие.

Обычно задача загрузчика вредоносного ПО состоит в том, чтобы проникнуть в систему и загрузить вредоносные программы — например, вымогатели или шпионское ПО. Обфускация сна помогает сделать код и данные вредоносного ПО зашифрованными, пока оно неактивно, то есть находится в состоянии сна. В незашифрованном виде фрагменты вредоносного кода появляются в памяти только при его выполнении. Для этого программа использует пользовательские потоки (fibers) Windows — контексты выполнения, переключение между которыми производится вручную.

Однако наиболее тревожным аспектом CoffeeLoader оказался упаковщик Armoury, код которого выполняется на графическом процессоре, что затрудняет его анализ в виртуальных средах. «После того как графический процессор выполняет функцию, декодированный выходной буфер содержит самомодифицирующийся шелл-код, который затем передаётся в центральный процессор для расшифровки и выполнения основной вредоносной программы», — сообщили в Zscaler ThreatLabz. Этот упаковщик используется для защиты полезных нагрузок у SmokeLoader и CoffeeLoader. На практике CoffeeLoader применялся для развёртывания шелл-кода Rhadamanthys в кампаниях по краже информации.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Популярность Windows 10 резко обвалилась в марте 21 мин.
Консоли задержат релиз постапокалиптического стелс-экшена Steel Seed от создателей Close to the Sun — объявлена новая дата выхода 2 ч.
Всего за несколько дней в Atomfall сыграло более 1,5 миллиона человек — это лучший старт в 32-летней истории разработчиков 2 ч.
ИИ-модель Llama запустили на ПК из прошлого тысячелетия на базе Windows 98 2 ч.
Telegram продал виртуальных первоапрельских кирпичей почти на 100 млн рублей 3 ч.
Nintendo подтвердила рекордную продолжительность презентации Switch 2 и устроит две демонстрации игр для консоли 3 ч.
ChatGPT остаётся самым популярным чат-ботом с ИИ, но у конкурентов аудитория тоже растёт 4 ч.
Google сделает сквозное шифрование в Gmail доступным для всех 4 ч.
Антиутопия на колёсах: новый геймплейный трейлер раскрыл дату выхода приключения Beholder: Conductor про кондуктора легендарного поезда 4 ч.
Путин запретил госорганам и банкам общаться с клиентами через иностранные мессенджеры 5 ч.
В Калифорнии зарядных станций для электромобилей теперь на 48 % больше, чем бензоколонок 2 ч.
Японская Rapidus к концу апреля запустит опытное производство 2-нм чипов 4 ч.
В Лондоне появится экобезопасный ЦОД AWS для ленточных накопителей 6 ч.
Blue Origin выяснила, почему потеряла многоразовую ступень ракеты New Glenn при первом запуске 6 ч.
Arm намерена занять 50 % рынка чипов для ЦОД к концу 2025 года — NVIDIA ей в этом поможет 7 ч.
Bharti Airtel подключила Мумбаи к мировой сети с помощью кабеля 2Africa Pearls с пропускной способностью 100 Тбит/с 7 ч.
Европа технически готова построить суперколлайдер будущего, который будет втрое больше БАКа 8 ч.
Microsoft вновь заявила о намерении сотрудничать с OpenAI несмотря на план по замедлению экспансии ЦОД 8 ч.
XenData представила 1U-устройство Z20 на базе Windows 11 Pro для доступа к облачным хранилищам 8 ч.
Asus и Xbox намекнули на совместный выпуск портативной приставки с «новым уровнем гейминга» 8 ч.
Включить темный режим