O CoffeeLoader, um novo malware sofisticado identificado por pesquisadores da Zscaler ThreatLabz, é projetado para baixar e executar cargas secundárias enquanto evita a detecção por soluções de segurança baseadas em endpoint. Ele apresenta características semelhantes ao SmokeLoader, outro carregador de malware bem conhecido no cenário cibernético.
Técnicas avançadas para burlar detecção
Segundo Brett Stone-Gross, diretor sênior de inteligência de ameaças da Zscaler, o CoffeeLoader emprega diversas técnicas para escapar de softwares de segurança, incluindo:
- Uso do packer Armoury, que executa código diretamente na GPU para dificultar a análise em máquinas virtuais;
- Falsificação da pilha de chamadas para mascarar a origem das funções executadas;
- Ofuscação de sono para evitar detecção baseada em comportamento;
- Utilização do Windows Fibers para modificar o fluxo de execução do malware.
A sequência de infecção do CoffeeLoader começa com um dropper, que tenta executar uma carga útil de DLL compactada pelo Armoury (“ArmouryAIOSDK.dll” ou “ArmouryA.dll”) com privilégios elevados. Se necessário, ele também tenta burlar o Controle de Conta de Usuário (UAC) para obter as permissões requeridas.
Persistência e execução
Para garantir sua permanência no sistema infectado, o dropper configura uma tarefa agendada que é executada no logon do usuário ou a cada 10 minutos. Em seguida, um componente stager carrega o módulo principal do malware, que implementa as técnicas avançadas de evasão mencionadas anteriormente.
O principal objetivo do CoffeeLoader é estabelecer comunicação com um servidor C2 via HTTPS para receber o malware de estágio seguinte. Entre os comandos executados, destaca-se a injeção e execução do shellcode Rhadamanthys, conhecido por suas capacidades de roubo de informações.
Ligações com o SmokeLoader
A análise da Zscaler identificou semelhanças no código-fonte entre o CoffeeLoader e o SmokeLoader, levantando a possibilidade de que o primeiro seja uma evolução direta do segundo. Essa teoria ganha força após ações policiais no último ano que desmantelaram a infraestrutura do SmokeLoader.
Além disso, pesquisadores observaram que o próprio SmokeLoader tem sido usado para distribuir o CoffeeLoader, indicando uma possível relação entre as duas ameaças, embora os detalhes dessa conexão ainda não estejam claros.
Outras ameaças ativas
A descoberta do CoffeeLoader ocorre em um momento de intensificação das atividades de malware. A Seqrite Labs recentemente revelou uma campanha de phishing que espalha o Snake Keylogger, um malware especializado em roubo de informações.
Paralelamente, usuários envolvidos com criptomoedas foram alvos de postagens fraudulentas no Reddit, que promoviam versões crackeadas do TradingView para induzir a instalação de programas maliciosos como Lumma e Atomic em dispositivos Windows e macOS.
Conclusão
O CoffeeLoader representa um avanço significativo nas táticas de evasão de malware, explorando a GPU para dificultar sua detecção e remoção. Sua semelhança com o SmokeLoader sugere uma evolução contínua dessas ameaças, exigindo atenção redobrada por parte das equipes de segurança cibernética.