CoffeeLoader tarnt sich mit GPU-basiertem Packer vor EDR und Antivirus
Eine neue, technisch ausgefeilte Schadsoftware namens CoffeeLoader erregt derzeit die Aufmerksamkeit von Sicherheitsexperten. Hauptziele der Malware sind es, sich einerseits gut zu verstecken und andererseits nachgelagerten Schadprogrammen den Weg zu bahnen.
Nach Angaben von Zscaler ThreatLabz weist die Schadsoftware CoffeeLoader Verhaltensähnlichkeiten mit dem bekannten Malware-Loader SmokeLoader auf.
„Ziel der Malware ist es, sekundäre Nutzlasten (Second-Stage Payloads) nachzuladen und auszuführen – und dabei gleichzeitig einer Erkennung durch Endpoint-basierte Sicherheitslösungen zu entgehen“, erklärt Brett Stone-Gross, Senior Director of Threat Intelligence bei Zscaler, in einer technischen Analyse.
Um Sicherheitsmaßnahmen zu umgehen, setzt CoffeeLoader auf eine Vielzahl fortgeschrittener Techniken. Dazu gehören unter anderem:
- ein speziell entwickelter Packer, der gezielt im Grafikprozessor (GPU) arbeitet,
- Call Stack Spoofing,
- Sleep Obfuscation, sowie
- die Verwendung von Windows Fibers zur Umgehung herkömmlicher Analyseverfahren.
Die Malware trat erstmals etwa im September 2024 in Erscheinung. Sie verfügt über einen Domain Generation Algorithm (DGA), der als Ausweichmechanismus dient, falls die primären Command-and-Control-(C2)-Server nicht erreichbar sind.
Kernkomponente von CoffeeLoader ist ein Packer mit dem Namen Armoury, der Schadcode gezielt auf der Grafikeinheit (GPU) des Systems ausführt. Diese Technik erschwert die Analyse in virtuellen Umgebungen erheblich. Die Bezeichnung „Armoury“ leitet sich von der Tatsache ab, dass sich die Schadsoftware als das legitime ASUS-Tool Armoury Crate ausgibt.
Die Infektionskette beginnt mit einem Dropper, der unter anderem versucht, eine mit dem Armoury-Packer geschützte DLL-Nutzlast („ArmouryAIOSDK.dll“ oder „ArmouryA.dll“) mit erhöhten Rechten auszuführen. Bevor dieser Schritt erfolgt, versucht der Dropper im Falle fehlender Berechtigungen zunächst, die Benutzerkontensteuerung (User Account Control, UAC) zu umgehen.
Zusätzlich ist der Dropper so konzipiert, dass er Persistenz auf dem kompromittierten System herstellt. Dies geschieht über eine geplante Aufgabe (Scheduled Task), die entweder beim Benutzeranmelden mit höchsten Berechtigungen oder in einem Intervall von zehn Minuten ausgeführt wird.
Im Anschluss startet ein Stager-Modul, das wiederum das eigentliche Hauptmodul lädt.
„Das Hauptmodul setzt zahlreiche Techniken ein, um einer Erkennung durch Antivirus-Software (AV) und Lösungen zur Endpunktüberwachung (Endpoint Detection and Response, EDR) zu entgehen“, so Stone-Gross. „Dazu zählen unter anderem Call Stack Spoofing, Sleep Obfuscation und der Einsatz von Windows Fibers.“
Diese Methoden ermöglichen es, den Call Stack zu manipulieren, um die Herkunft eines Funktionsaufrufs zu verschleiern, sowie die Nutzlast im Ruhezustand zu tarnen. Dadurch kann die Malware einer Entdeckung durch sicherheitsrelevante Schutzmechanismen wirksam entgehen.
Das primäre Ziel von CoffeeLoader besteht darin, über eine verschlüsselte HTTPS-Verbindung Kontakt zu einem Command-and-Control-Server (C2) herzustellen, um dort weitere Schadsoftware – Second- oder Next-Stage Payloads – abzurufen. Dazu zählen unter anderem Befehle zum Einfügen und Ausführen von Rhadamanthys-Shellcode.
Laut Angaben von Zscaler wurden auf Quellcode-Ebene zahlreiche Gemeinsamkeiten zwischen CoffeeLoader und SmokeLoader festgestellt. Dies legt nahe, dass es sich bei CoffeeLoader um eine mögliche Weiterentwicklung oder neue Hauptversion von SmokeLoader handeln könnte – insbesondere vor dem Hintergrund, dass die Infrastruktur von SmokeLoader im vergangenen Jahr durch Strafverfolgungsbehörden zerschlagen wurde.
Zscaler erklärte weiter: „Es bestehen auffällige Ähnlichkeiten zwischen SmokeLoader und CoffeeLoader. Ersterer wurde auch bereits dazu verwendet, Letzteren zu verbreiten. Die genaue Beziehung zwischen den beiden Malware-Familien ist derzeit jedoch noch unklar.“
Weitere aktuelle Bedrohungsaktivitäten
Die Entdeckung von CoffeeLoader fällt zeitlich mit weiteren Bedrohungsaktivitäten zusammen:
Seqrite Labs berichtet über eine Phishing-Kampagne, bei der eine mehrstufige Infektionskette initiiert wird, an deren Ende die Informationsdiebstahl-Malware Snake Keylogger auf betroffenen Systemen installiert wird.
Eine weitere Angriffswelle richtet sich gegen Reddit-Nutzer, die über Plattform-Beiträge mit angeblich „gecrackten“ Versionen von TradingView angesprochen werden. Das Ziel ist hier, sie zur Installation von Stealern wie Lumma und Atomic auf Windows- und macOS-Systemen zu verleiten.