Сегодня 01 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → загрузчик

Обнаружен вредоносный загрузчик CoffeeLoader — он прячется от антивирусов на видеокарте и прибегает к другим уловкам

Обнаружена опасная программа CoffeeLoader — загрузчик вредоносного ПО, который скрывается от антивирусного программного обеспечения, используя набор хитроумных методов, вплоть до выполнения на видеокарте. Её обнаружили эксперты в области кибербезопасности компании Zscaler ThreatLabz.

 Источник изображения: threatlabz.zscaler.com

Источник изображения: threatlabz.zscaler.com

Чтобы оставаться незамеченным, CoffeeLoader прибегает сразу к нескольким ухищрениям: подменяет стек вызовов, использует обфускацию сна и применяет пользовательские потоки Windows. Стек вызовов можно описать как «хлебные крошки», в которых записывается, какие функции вызывала программа. Средства безопасности проверяют их, чтобы отследить поведение программы и выявить вредоносную активность, но CoffeeLoader подменяет эти «хлебные крошки», маскируя своё присутствие.

Обычно задача загрузчика вредоносного ПО состоит в том, чтобы проникнуть в систему и загрузить вредоносные программы — например, вымогатели или шпионское ПО. Обфускация сна помогает сделать код и данные вредоносного ПО зашифрованными, пока оно неактивно, то есть находится в состоянии сна. В незашифрованном виде фрагменты вредоносного кода появляются в памяти только при его выполнении. Для этого программа использует пользовательские потоки (fibers) Windows — контексты выполнения, переключение между которыми производится вручную.

Однако наиболее тревожным аспектом CoffeeLoader оказался упаковщик Armoury, код которого выполняется на графическом процессоре, что затрудняет его анализ в виртуальных средах. «После того как графический процессор выполняет функцию, декодированный выходной буфер содержит самомодифицирующийся шелл-код, который затем передаётся в центральный процессор для расшифровки и выполнения основной вредоносной программы», — сообщили в Zscaler ThreatLabz. Этот упаковщик используется для защиты полезных нагрузок у SmokeLoader и CoffeeLoader. На практике CoffeeLoader применялся для развёртывания шелл-кода Rhadamanthys в кампаниях по краже информации.

Смартфоны Xiaomi не получат обновления HyperOS, если у них будет разблокирован загрузчик

Xiaomi на днях запустила в продажу линейку смартфонов Xiaomi 14. Отличительной особенностью новинок стала новая оболочка HyperOS UX вместо прежней MIUI. Вместе с тем, на просторах Сети уже появилась информация, что компания полностью запретила пользователям разблокировать загрузчики HyperOS и MIUI. Запрет сняли для смартфонов с MIUI, списав временное отключение разблокировки на технические работы на серверах, в то время как пользователи HyperOS не могут разблокировать загрузчик и по сей день.

Теперь Xiaomi подтвердила представителю портала Android Authority, что действительно разблокировка загрузчика отключена «из коробки» на смартфонах под управлением HyperOS. Компания объяснила это желанием увеличить стабильность и безопасность работы системы: «Для защиты безопасности устройства и во избежание утечек данных разблокировка загрузчика будет по умолчанию отключена на устройствах с HyperOS. Мы хотели бы предоставить нашим заказчикам более безопасный и стабильный пользовательский опыт».

Тем не менее, по заверению Xiaomi, возможность разблокировки будет предоставлена пользователю после подачи им соответствующей заявки на форуме сообщества. «Пожалуйста, следите за анонсом портала приложений на сайте сообщества Xiaomi», — резюмирует компания.

Аналогично складывалась ситуация и с разблокировкой загрузчика для устройств под управлением MIUI: владельцы устройств обращались за разрешениями, чтобы разблокировать загрузчик. Причём, возможность разблокировки появлялась только по истечении установленного времени работы ОС.

В Китае ситуация с разблокировкой загрузчиков HyperOS будет более жёсткой. HyperOS, как минимум, сохранит некоторые из требуемых местными законами ограничений, в то время как сама Xiaomi опубликовала дополнительные новые требования к процессу разблокировки загрузчика в Китае. По словам корреспондента MIUI Polska Каспера Скшипека (Kacper Skrzypek), владельцы смартфонов с HyperOS в Китае должны будут достичь загадочного «пятого уровня» на форумах компании, чтобы разблокировать загрузчик HyperOS. По скриншотам, предоставленным автором, можно сделать вывод о том, что разрешения на разблокировку загрузчика каким-то образом зависят от времени. Также существует ограничение в три разблокированных устройства в год.

Вместе с тем, в Xiaomi уверяют, что указанные ограничения устанавливаются только для китайской версии HyperOS. Тогда как пользователям в других частях света следует дождаться обновления на форуме компании для получения более подробной информации.

Надо отметить, что описанный ограничительный подход к разблокировке загрузчика отличается от некоторых других брендов смартфонов. Так, смартфоны Google Pixel и OnePlus дают возможность разблокировать загрузчик, перейдя в обычно скрытое меню параметров и выполнив несколько служебных команд.

Вместе с тем, Xiaomi огорчила владельцев устройств под управлением MIUI, желающих разблокировать свои смартфоны: они не получат обновление до HyperOS. «Операционные системы прошлого поколения, такие как MIUI 14, по-прежнему сохраняют возможность разблокировки, однако пользователи больше не будут получать никаких обновлений Xiaomi HyperOS, если они оставят свои устройства в разблокированном состоянии», — заявили в компании.

При этом, если пользователь разблокировал загрузчик своего смартфона, для него будут недоступны обновления HyperOS независимо от того, какую именно оболочку он использовал: HyperOS или MIUI 14. Однако владелец смартфона вновь получит возможность «обновляться» в том случае, если решит заблокировать загрузчик своего устройства. Это относится ко всем смартфонам, в том числе за пределами Китая.

Отметим, что разблокировка загрузчика действительно имеет последствия для безопасности, в результате чего некоторые приложения, такие как банковские клиенты и платежные сервисы, не работают. Тем не менее, это важный шаг для тех, кто хочет поэкспериментировать со своими смартфонами, открывая двери для кастомных прошивок, неофициальных обновлений, системных модов и многого другого.


window-new
Soft
Hard
Тренды 🔥
Консоли задержат релиз постапокалиптического стелс-экшена Steel Seed от создателей Close to the Sun — объявлена новая дата выхода 2 ч.
Всего за несколько дней в Atomfall сыграло более 1,5 миллиона человек — это лучший старт в 32-летней истории разработчиков 3 ч.
ИИ-модель Llama запустили на ПК из прошлого тысячелетия на базе Windows 98 3 ч.
Telegram продал виртуальных первоапрельских кирпичей почти на 100 млн рублей 3 ч.
Nintendo подтвердила рекордную продолжительность презентации Switch 2 и устроит две демонстрации игр для консоли 4 ч.
ChatGPT остаётся самым популярным чат-ботом с ИИ, но у конкурентов аудитория тоже растёт 5 ч.
Google сделает сквозное шифрование в Gmail доступным для всех 5 ч.
Антиутопия на колёсах: новый геймплейный трейлер раскрыл дату выхода приключения Beholder: Conductor про кондуктора легендарного поезда 5 ч.
Путин запретил госорганам и банкам общаться с клиентами через иностранные мессенджеры 5 ч.
Разработчик приложений для российской ОС «Аврора» приостановил работу — сотрудникам перестали платить зарплату 5 ч.
В Калифорнии зарядных станций для электромобилей теперь на 48 % больше, чем бензоколонок 3 ч.
Японская Rapidus к концу апреля запустит опытное производство 2-нм чипов 5 ч.
В Лондоне появится экобезопасный ЦОД AWS для ленточных накопителей 7 ч.
Blue Origin выяснила, почему потеряла многоразовую ступень ракеты New Glenn при первом запуске 7 ч.
Arm намерена занять 50 % рынка чипов для ЦОД к концу 2025 года — NVIDIA ей в этом поможет 8 ч.
Bharti Airtel подключила Мумбаи к мировой сети с помощью кабеля 2Africa Pearls с пропускной способностью 100 Тбит/с 8 ч.
Европа технически готова построить суперколлайдер будущего, который будет втрое больше БАКа 8 ч.
Microsoft вновь заявила о намерении сотрудничать с OpenAI несмотря на план по замедлению экспансии ЦОД 9 ч.
XenData представила 1U-устройство Z20 на базе Windows 11 Pro для доступа к облачным хранилищам 9 ч.
Asus и Xbox намекнули на совместный выпуск портативной приставки с «новым уровнем гейминга» 9 ч.