CoffeeLoader malware: Μάθετε τα πάντα για τη νέα απειλή
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
CoffeeLoader malware: Μάθετε τα πάντα για τη νέα απειλή
https://www.secnews.gr/644743/coffeeloader-malware-mathete-panta-gia-nea-apeili/
Mar 28th 2025, 17:00
by Digital Fortress
Ερευνητές ασφαλείας της Zscaler ThreatLabz προειδοποιούν για ένα νέο εξελιγμένο malware που ονομάζεται CoffeeLoader και επιτρέπει τη λήψη και εκτέλεση δευτερευόντων payloads.
Το κακόβουλο λογισμικό φαίνεται να έχει κάποιες ομοιότητες με ένα άλλο γνωστό malware loader, το SmokeLoader.
Σύμφωνα με τον ερευνητή της Zscaler, Brett Stone-Gross, το malware κατεβάζει άλλα κακόβουλα payloads, ενώ ταυτόχρονα αποφεύγει τον εντοπισμό από endpoint-based προϊόντα ασφαλείας.
Δείτε επίσης: FBI: Ψεύτικα εργαλεία μετατροπής εγγράφων διαδίδουν malware
Προκειμένου να παρακάμψει τις λύσεις ασφαλείας, το CoffeeLoader malware χρησιμοποιεί πολλές τεχνικές, συμπεριλαμβανομένου ενός εξειδικευμένου packer που χρησιμοποιεί την GPU, του call stack spoofing, του sleep obfuscation και της χρήσης Windows fibers.
Το CoffeeLoader εμφανίστηκε πρώτη φορά τον Σεπτέμβριο του 2024 και αξιοποιεί έναν domain generation algorithm (DGA) ως εναλλακτικό μηχανισμό σε περίπτωση που τα κύρια κανάλια εντολών και ελέγχου (C2) καταστούν απρόσιτα.
Το πιο βασικό στοιχείο του κακόβουλου λογισμικού είναι ένα πρόγραμμα packer που ονομάζεται Armory και εκτελεί κώδικα στη GPU του συστήματος, για να δυσκολέψει την ανάλυση σε εικονικά περιβάλλοντα. Το packer υποδύεται το νόμιμο βοηθητικό πρόγραμμα Armory Crate που αναπτύχθηκε από την ASUS.
Η μόλυνση ξεκινά με ένα dropper που, μεταξύ άλλων, επιχειρεί να εκτελέσει ένα DLL payload που συνδυάζεται με το Armory ("ArmouryAIOSDK.dll" ή "ArmouryA.dll") με αυξημένα δικαιώματα. Πρώτα, όμως, πρέπει να παρακάμψει το User Account Control (UAC) εάν το dropper δεν έχει τις απαραίτητες άδειες.
Δείτε επίσης: Η καμπάνια «DollyWay» malware παραβίασε 20.000 site WordPress
Οι ερευνητές παρατήρησαν ότι το dropper μπορεί, ακόμα, να δημιουργεί persistence μέσω ενός scheduled task που έχει ρυθμιστεί να εκτελείται είτε κατά τη σύνδεση του χρήστη είτε κάθε 10 λεπτά. Αυτό το βήμα επιτυγχάνεται με την εκτέλεση ενός stager component που, με τη σειρά του, φορτώνει το κύριο module.
Το κύριο module εφαρμόζει διάφορες τεχνικές για την αποφυγή ανίχνευσης από antivirus (AV) και εργαλεία Endpoint Detection and Response (EDRs).
Ο απώτερος στόχος του CoffeeLoader malware είναι να επικοινωνήσει με έναν διακομιστή C2 μέσω HTTPS, προκειμένου να αποκτήσει το κακόβουλο λογισμικό επόμενου σταδίου (π.χ. Rhadamanthys).
Δείτε επίσης: Arcane: Νέο info-stealer malware στοχεύει χρήστες μέσω game cheats
Η Zscaler είπε ότι εντόπισε μια σειρά από ομοιότητες μεταξύ του CoffeeLoader και του SmokeLoader malware, σε επίπεδο πηγαίου κώδικα, αυξάνοντας την πιθανότητα να είναι η επόμενη σημαντική έκδοση του τελευταίου. Ωστόσο, δεν έχει ξεκαθαριστεί η σχέση μεταξύ τους.
Προστασία από malware
• Ενημέρωσε το λειτουργικό σύστημα & τις εφαρμογές – Οι ενημερώσεις περιλαμβάνουν διορθώσεις για ευπάθειες ασφαλείας.
• Χρησιμοποίησε ισχυρούς και μοναδικούς κωδικούς – Εάν ένας λογαριασμός παραβιαστεί, οι υπόλοιποι θα παραμείνουν ασφαλείς.
• Χρησιμοποίησε έλεγχο ταυτότητας δύο παραγόντων (2FA) – Προσφέρει επιπλέον προστασία στους λογαριασμούς σου.
• Χρησιμοποίησε αξιόπιστο antivirus/antimalware – Ενεργοποίησε την προστασία σε πραγματικό χρόνο.
• Απόφυγε ύποπτα email και links – Οι επιθέσεις phishing προσπαθούν να κλέψουν προσωπικά δεδομένα.
• Απόφυγε τη λήψη αρχείων από άγνωστες πηγές – Προτίμησε επίσημα καταστήματα εφαρμογών και ιστότοπους.
• Ενεργοποίησε το τείχος προστασίας (firewall) – Μπορεί να αποτρέψει ανεπιθύμητη δικτυακή κίνηση.
• Χρησιμοποίησε VPN σε δημόσια Wi-Fi – Προστατεύει τα δεδομένα σου από επιθέσεις τύπου "man-in-the-middle".
• Μην αγνοείς προειδοποιήσεις ασφαλείας – Αν ένα πρόγραμμα ή σύστημα προειδοποιεί για πιθανό κίνδυνο, ερεύνησέ το πριν προχωρήσεις.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
CoffeeLoader malware: Μάθετε τα πάντα για τη νέα απειλή
https://www.secnews.gr/644743/coffeeloader-malware-mathete-panta-gia-nea-apeili/
Mar 28th 2025, 17:00
by Digital Fortress
Ερευνητές ασφαλείας της Zscaler ThreatLabz προειδοποιούν για ένα νέο εξελιγμένο malware που ονομάζεται CoffeeLoader και επιτρέπει τη λήψη και εκτέλεση δευτερευόντων payloads.
Το κακόβουλο λογισμικό φαίνεται να έχει κάποιες ομοιότητες με ένα άλλο γνωστό malware loader, το SmokeLoader.
Σύμφωνα με τον ερευνητή της Zscaler, Brett Stone-Gross, το malware κατεβάζει άλλα κακόβουλα payloads, ενώ ταυτόχρονα αποφεύγει τον εντοπισμό από endpoint-based προϊόντα ασφαλείας.
Δείτε επίσης: FBI: Ψεύτικα εργαλεία μετατροπής εγγράφων διαδίδουν malware
Προκειμένου να παρακάμψει τις λύσεις ασφαλείας, το CoffeeLoader malware χρησιμοποιεί πολλές τεχνικές, συμπεριλαμβανομένου ενός εξειδικευμένου packer που χρησιμοποιεί την GPU, του call stack spoofing, του sleep obfuscation και της χρήσης Windows fibers.
Το CoffeeLoader εμφανίστηκε πρώτη φορά τον Σεπτέμβριο του 2024 και αξιοποιεί έναν domain generation algorithm (DGA) ως εναλλακτικό μηχανισμό σε περίπτωση που τα κύρια κανάλια εντολών και ελέγχου (C2) καταστούν απρόσιτα.
Το πιο βασικό στοιχείο του κακόβουλου λογισμικού είναι ένα πρόγραμμα packer που ονομάζεται Armory και εκτελεί κώδικα στη GPU του συστήματος, για να δυσκολέψει την ανάλυση σε εικονικά περιβάλλοντα. Το packer υποδύεται το νόμιμο βοηθητικό πρόγραμμα Armory Crate που αναπτύχθηκε από την ASUS.
Η μόλυνση ξεκινά με ένα dropper που, μεταξύ άλλων, επιχειρεί να εκτελέσει ένα DLL payload που συνδυάζεται με το Armory ("ArmouryAIOSDK.dll" ή "ArmouryA.dll") με αυξημένα δικαιώματα. Πρώτα, όμως, πρέπει να παρακάμψει το User Account Control (UAC) εάν το dropper δεν έχει τις απαραίτητες άδειες.
Δείτε επίσης: Η καμπάνια «DollyWay» malware παραβίασε 20.000 site WordPress
Οι ερευνητές παρατήρησαν ότι το dropper μπορεί, ακόμα, να δημιουργεί persistence μέσω ενός scheduled task που έχει ρυθμιστεί να εκτελείται είτε κατά τη σύνδεση του χρήστη είτε κάθε 10 λεπτά. Αυτό το βήμα επιτυγχάνεται με την εκτέλεση ενός stager component που, με τη σειρά του, φορτώνει το κύριο module.
Το κύριο module εφαρμόζει διάφορες τεχνικές για την αποφυγή ανίχνευσης από antivirus (AV) και εργαλεία Endpoint Detection and Response (EDRs).
Ο απώτερος στόχος του CoffeeLoader malware είναι να επικοινωνήσει με έναν διακομιστή C2 μέσω HTTPS, προκειμένου να αποκτήσει το κακόβουλο λογισμικό επόμενου σταδίου (π.χ. Rhadamanthys).
Δείτε επίσης: Arcane: Νέο info-stealer malware στοχεύει χρήστες μέσω game cheats
Η Zscaler είπε ότι εντόπισε μια σειρά από ομοιότητες μεταξύ του CoffeeLoader και του SmokeLoader malware, σε επίπεδο πηγαίου κώδικα, αυξάνοντας την πιθανότητα να είναι η επόμενη σημαντική έκδοση του τελευταίου. Ωστόσο, δεν έχει ξεκαθαριστεί η σχέση μεταξύ τους.
Προστασία από malware
• Ενημέρωσε το λειτουργικό σύστημα & τις εφαρμογές – Οι ενημερώσεις περιλαμβάνουν διορθώσεις για ευπάθειες ασφαλείας.
• Χρησιμοποίησε ισχυρούς και μοναδικούς κωδικούς – Εάν ένας λογαριασμός παραβιαστεί, οι υπόλοιποι θα παραμείνουν ασφαλείς.
• Χρησιμοποίησε έλεγχο ταυτότητας δύο παραγόντων (2FA) – Προσφέρει επιπλέον προστασία στους λογαριασμούς σου.
• Χρησιμοποίησε αξιόπιστο antivirus/antimalware – Ενεργοποίησε την προστασία σε πραγματικό χρόνο.
• Απόφυγε ύποπτα email και links – Οι επιθέσεις phishing προσπαθούν να κλέψουν προσωπικά δεδομένα.
• Απόφυγε τη λήψη αρχείων από άγνωστες πηγές – Προτίμησε επίσημα καταστήματα εφαρμογών και ιστότοπους.
• Ενεργοποίησε το τείχος προστασίας (firewall) – Μπορεί να αποτρέψει ανεπιθύμητη δικτυακή κίνηση.
• Χρησιμοποίησε VPN σε δημόσια Wi-Fi – Προστατεύει τα δεδομένα σου από επιθέσεις τύπου "man-in-the-middle".
• Μην αγνοείς προειδοποιήσεις ασφαλείας – Αν ένα πρόγραμμα ή σύστημα προειδοποιεί για πιθανό κίνδυνο, ερεύνησέ το πριν προχωρήσεις.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια