Das Zscaler-ThreatLabz-Team hat eine neue, hochentwickelte Malware-Familie enttarnt und ihr den Namen „CoffeeLoader“ gegeben. Diese Malware treibt seit September 2024 ihr Unwesen und führt nach dem Herunterladen Payloads der zweiten Stufe aus. Um die Entdeckung zu verhindern und Endpoint-Security-Software zu untergraben, setzt CoffeeLoader unterschiedliche Verschleierungstechniken ein, darunter ein spezielles Packprogramm, das den Namen Armoury erhalten hat, das Code auf der GPU eines Systems ausführt, um die Analyse in virtuellen Umgebungen zu erschweren. Weitere Funktionen der Malware sind Call-Stack-Spoofing, Verschleierung des Ruhezustands (Sleep Obfuscation) und die Verwendung von Windows-Fibers. Zudem verwendet CoffeeLoader einen Domain-Generierungsalgorithmus (DGA), wenn die primären Befehls- und Kontrollkanäle nicht erreichbar sind, und nutzt Zertifikats-Pinning, um TLS-Man-in-the-Middle-Angriffe zu verhindern.
Die neu entdeckte Malware wird über Smokeloader verbreitet und die beiden Familien teilen auch ansonsten ähnliche Verhaltensweisen. Die genaue Beziehung zwischen den beiden Malware-Familien ist jedoch noch nicht geklärt. Außerdem wird die Malware zur Verbreitung des Rhadamanthys-Shellcodes verwendet.
Verschleierung im Schlaf
CoffeeLoader implementiert eine Technik, die als Sleep-Obfuscation bekannt ist und dazu dient, sich vor Sicherheitstools zu verstecken, die den Speicher scannen. Bei dieser Methode werden Code und Daten der Malware verschlüsselt, während sie sich im Ruhezustand befindet. Somit sind die (unverschlüsselten) Artefakte der Malware nur dann im Speicher vorhanden, wenn ihr Code ausgeführt wird. Es gibt zahlreiche Open-Source-Beispiele, die Sleep-Obfuscation mit Timer-Queues, Waitable-Timers und Asynchronous-Procedure-Calls (APCs) implementieren.
Fazit
Die Fülle neuer Malware, mit denen Bedrohungsakteure versuchen an sensible Daten der User zu gelangen, nimmt stetig zu und CoffeeLoader reiht sich in eine lange Liste von Malware-Loadern ein. Durch die eingebauten Features und Verschleierungstaktiken kann CoffeeLoader durchaus mit den Mitbewerbern mithalten. Die Entwickler der Malware versuchen durch innovative Techniken, der Erkennung durch Anti-Viren-Programme, EDRs und Malware-Sandboxen zu entgehen. Die Zscaler-Cloud-Sandbox jedoch kann diese Kampagne und ihre zahlreichen Varianten erfolgreich erkennen.
Info: Weitere Informationen und eine detaillierte Analyse der CoffeeLoader-Maleware finden sich im Zscaler Blog.
#Zscaler
powered by Borlabs Cookie 