• Home
  • Batterie conseils
  • Le malware CoffeeLoader échappe à la détection en utilisant des techniques sophistiquées, avertissent les chercheurs

Le malware CoffeeLoader échappe à la détection en utilisant des techniques sophistiquées, avertissent les chercheurs

Des chercheurs en sécurité ont découvert un nouveau chargeur de malware dangereux qui parvient à échapper aux solutions traditionnelles de détection et de réponse aux points de terminaison (EDR) grâce à un éventail de techniques sophistiquées.

Les chercheurs de Zscaler ThreatLabz ont récemment observé CoffeeLoader en activité, le qualifiant de chargeur de malware hautement sophistiqué représentant une menace sérieuse pour les systèmes de sécurité.


>>>V-8200 Batterie de remplacement pour Philips V-8200

Techniques d’évasion utilisées par CoffeeLoader

CoffeeLoader utilise diverses méthodes d’évasion pour contourner la détection. Voici les principales :

  • Spoofing de la pile d’appels : Une pile d’appels est une trace numérique enregistrant les fonctions appelées par un programme, que les outils de sécurité utilisent pour suivre son comportement et détecter des activités suspectes. CoffeeLoader forge de fausses piles d’appels, dissimulant ainsi ses traces et perturbant les outils de détection.

  • Obfuscation par sommeil : Cette technique consiste à chiffrer le code et les données du malware lorsqu’il est en état de veille. Par conséquent, les composants non chiffrés du malware ne sont présents en mémoire que lorsque le code est activement exécuté, rendant sa détection plus difficile lorsqu’il est inactif.

  • Fibres Windows : Les fibres sont un mécanisme obscur et léger pour le multitâche en mode utilisateur, permettant à une seule menace d’avoir plusieurs contextes d’exécution. CoffeeLoader utilise des fibres pour mettre en œuvre l’obfuscation par sommeil, compliquant davantage la détection par les systèmes de sécurité.


Armoury : un nouveau packer pour l’exécution sur GPU

La caractéristique la plus préoccupante de CoffeeLoader est Armoury, un packer qui exécute le code malveillant sur le GPU du système. Cette tactique entrave l’analyse dans les environnements virtuels, couramment utilisés pour la détection des malwares.


Une fois la fonction exécutée sur le GPU, le tampon de sortie décodé contient du shellcode auto-modifiant, qui est ensuite renvoyé au CPU pour être décrypté et exécuter le malware. Les chercheurs ont noté que cette technique est également utilisée pour protéger les charges utiles de SmokeLoader et CoffeeLoader.


>>>V-8100 Batterie de remplacement pour Philips V-8100

Utilisation dans des campagnes de vol de données

Les chercheurs de Zscaler ThreatLabz ont découvert que CoffeeLoader était utilisé pour déployer le shellcode Rhadamanthys, généralement associé à des campagnes de vol de données. Cela suggère que le malware cible des informations sensibles, telles que des identifiants de connexion et des données personnelles, à des fins malveillantes.


Avec ces techniques avancées d’évasion, CoffeeLoader représente un risque grave, contournant les outils de détection traditionnels et compromettant les systèmes de sécurité.