Recentemente è stato identificato CoffeeLoader. E’ un malware altamente sofisticato che sfrutta la potenza della GPU per eludere efficacemente i sistemi tradizionali di rilevamento antivirus. Gli specialisti di cybersecurity di Zscaler ThreatLabz hanno individuato per la prima volta questo malware nel settembre 2024; hanno sottolineato la sua rilevanza come evoluzione significativa nelle tecniche di evasione informatica.
CoffeeLoader non solo riesce a nascondersi dai software di sicurezza, ma utilizza risorse hardware avanzate per attivare payload secondari, inclusi spyware e ransomware. In questo modo aumenta la complessità delle analisi e della sua individuazione.
Meccanismo di evasione di CoffeeLoader
CoffeeLoader adotta un approccio innovativo. Delega alla GPU la gestione della decodifica e dello scompattamento del codice dannoso; lo fa tramite un particolare packer chiamato Armoury. Questo metodo rende estremamente complicata la rilevazione da parte degli antivirus e delle tecnologie di sandboxing. Il codice resta cifrato nella memoria della GPU e diventa visibile soltanto nel momento in cui è attivamente eseguito.
Dopo l’elaborazione da parte della GPU, il codice risultante – auto-modificante – è inviato nuovamente alla CPU; qui è decriptato ed esegue la fase principale dell’infezione. Questa procedura consente al malware di aggirare efficacemente le difese basate sugli ambienti virtualizzati e sulle tecnologie Endpoint Detection and Response (EDR), generalmente utilizzate per identificare minacce meno sofisticate.
Tecniche avanzate di occultamento e persistenza
Oltre all’utilizzo delle GPU, CoffeeLoader implementa diverse strategie per mascherare la propria presenza e assicurare la persistenza sui dispositivi infettati. Tra queste tecniche, il malware applica lo “spoofing dello stack“; ovvero, manipola la pila delle chiamate, falsificando così le tracce normalmente sfruttate dai software di sicurezza per individuare attività sospette.
Un’ulteriore tattica impiegata è la “sleep obfuscation“. Rappresenta un metodo di cifratura che attiva il malware solamente durante la sua esecuzione attiva; quindi, diventa impossibile per gli antivirus rilevare tracce decifrabili in memoria durante le scansioni. Inoltre, il malware fa ricorso alle fibre Windows, particolari strumenti di multitasking a livello utilizzatore. Consente così la commutazione manuale tra contesti diversi di esecuzione e aumenta ulteriormente il livello di elusione delle difese informatiche.
CoffeeLoader raggiunge la persistenza creando specifici task schedulati nel sistema operativo Windows. Invece nei sistemi che offrono privilegi amministrativi, questi task eseguono il malware ad intervalli regolari; garantiscono, quindi, una presenza continua e difficilmente eliminabile.
CoffeeLoader e SmokeLoader
Un ulteriore aspetto di interesse nella ricerca su CoffeeLoader riguarda la sua possibile correlazione con un altro noto malware, SmokeLoader. Entrambi presentano notevoli somiglianze sia nella struttura tecnica che nelle funzionalità operative. Ambedue utilizzano shellcode auto-modificante per proteggere e nascondere payload maligni; sono stati rilevati in operazioni coordinate per diffondere software di tipo infostealer, come Rhadamanthys. Questo è particolarmente efficiente nel furto di credenziali, dati finanziari e informazioni relative alle criptovalute.
Malgrado le evidenti similitudini, la relazione dettagliata tra CoffeeLoader e SmokeLoader non è ancora pienamente definita. Tuttavia, SmokeLoader sembra essere utilizzato per diffondere CoffeeLoader in numerose campagne recenti. Questa interazione tra i due malware costituisce una significativa minaccia informatica.
CoffeeLoader: conclusioni
L’emergere di CoffeeLoader rappresenta una provocazione importante per la cybersecurity. Usa tecniche avanzate, come l’utilizzo innovativo della GPU e sofisticati metodi di occultamento e persistenza. Queste tecniche richiedono una pronta risposta tecnologica e strategica. È essenziale adottare strategie preventive efficaci, aggiornando costantemente i propri strumenti difensivi e le proprie competenze tecniche.
