Siber güvenlik araştırmacıları, yeni bir gelişmiş kötü amaçlı yazılımın dikkatini çekiyor. Kahve yükleyici Bu, ikincil yükleri indirmek ve yürütmek için tasarlanmıştır.
Zscaler tehdidine göre kötü amaçlı yazılım, davranışsal benzerlikleri Smokeloader olarak bilinen bilinen başka bir kötü amaçlı yazılım yükleyicisiyle paylaşıyor.
Zscaler Tehdit İstihbarat Kıdemli Direktörü Brett Stone-Gross, bu hafta yayınlanan bir teknik yazıda, “Kötü amaçlı yazılımların amacı, uç noktaya dayalı güvenlik ürünleri tarafından tespitten kaçınırken ikinci aşama yükleri indirmek ve yürütmektir.” Dedi.
“Kötü amaçlı yazılım, GPU’yu kullanan özel bir paketleyici de dahil olmak üzere güvenlik çözümlerini atlamak için çok sayıda teknik kullanıyor, yığın sahtekarlığı, uyku gizleme ve Windows liflerinin kullanımı.”
Eylül 2024’te ortaya çıkan Coffeeloader, birincil komuta ve kontrol (C2) kanallarının ulaşılamaz hale gelmesi durumunda bir geri dönüş mekanizması olarak bir etki alanı oluşturma algoritmasından (DGA) yararlanır.
Kötü amaçlı yazılımların merkezinde, sanal ortamlarda analizi karmaşıklaştırmak için bir sistemin GPU’sunda kod yürüten bir paketleyici olarak adlandırılan bir Armory olarak adlandırılır. Asus tarafından geliştirilen meşru cephanelik sandık kamu hizmetini taklit etmesi nedeniyle böyle adlandırılmıştır.
Enfeksiyon dizisi, diğer şeylerin yanı sıra, armory (“armouryaiosdk.dll” veya “armourya.dll”) tarafından paketlenmiş bir DLL yükü yürütmeye çalışan bir damlalıkla başlar, ancak damlalığın gerekli izinlere sahip değilse kullanıcı hesabı kontrolünü (UAC) atlamaya çalışmadan önce değil.
Droper ayrıca, en yüksek çalışma seviyesine sahip kullanıcı oturum açması üzerine çalışacak şekilde yapılandırılmış planlanmış bir görev vasıtasıyla ana bilgisayarda kalıcılık oluşturmak üzere tasarlanmıştır. Bu adım, ana modülü yükleyen bir Stager bileşeninin yürütülmesi ile yerine getirilir.
Stone-Gross, “Ana modül, antivirüs (AV) ve son nokta algılama ve yanıt (EDR’ler) tarafından algılamadan kaçınmak için çok sayıda teknik uygulamaktadır.
Bu yöntemler, bir fonksiyon çağrısının kökenini gizlemek ve uyku durumundayken yükü gizlemek için bir çağrı yığını taklit edebilir, böylece güvenlik yazılımı tarafından tespit edilmesine izin verir.
Coffeeloader’ın nihai amacı, bir sonraki aşamalı kötü amaçlı yazılımları elde etmek için HTTPS aracılığıyla bir C2 sunucusuna başvurmaktır. Bu, Rhadamanthys Shellcode enjekte etmek ve yürütme komutlarını içerir.
Zscaler, kaynak kodu düzeyinde kahve yüklü ve dumancı arasında bir dizi ortaklık belirlediğini ve özellikle geçen yıl altyapısını düşüren bir kolluk çabasının ardından, ikincisinin bir sonraki ana yinelemesi olabileceğini artırdığını söyledi.
Şirket, “Smokeloader ve Coffeeloader arasında, birincisi ikincisini dağıtıyor, ancak iki kötü amaçlı yazılım ailesi arasındaki kesin ilişki henüz net değil.” Dedi.
Geliştirme, Seqrite Labs, Snake Keylogger adlı bilgi çalan bir kötü amaçlı yazılım bırakan çok aşamalı bir enfeksiyon zincirini başlatmak için bir kimlik avı e-posta kampanyası detaylandırdı.
Ayrıca, Reddit yoluyla kripto para ticaretine girmeyi hedefleyen başka bir etkinlik kümesini takip eder.