Zscaler ThreatLabz identificeert een nieuwe malwarefamilie: CoffeeLoader excelleert in het ontwijken van beveiligingsoplossingen

Zscaler ThreatLabz heeft een nieuwe, geavanceerde malwarefamilie geïdentificeerd, genaamd CoffeeLoader. Deze malware is ontstaan rond september 2024 en heeft als doel om ‘second-stage’ payloads te downloaden op de apparaten van slachtoffers.

De belangrijkste eigenschap van CoffeeLoader is zijn vermogen om beveiligingsoplossingen te omzeilen. In tegenstelling tot traditionele malware-loaders zet CoffeeLoader meerdere technieken in om detectie te voorkomen. Dit is relatief nieuw en het maakt deze malwarefamilie dan ook erg gevaarlijk. De technieken die CoffeeLoader gebruikt zijn onder andere een gespecialiseerde packer die gebruikmaakt van de GPU, call stack spoofing, sleep obfuscation en Windows fibers.

Hoe omzeilt CoffeeLoader detectie?
CoffeeLoader maakt onder meer gebruik van Armoury, een GPU-gebaseerde packer die het Armoury Crate-hulpprogramma van ASUS imiteert. Hierdoor wordt analyse in virtuele omgevingen lastiger. De packer kaapt de originele Armoury Crate-exports en vervangt de inhoud ervan met een zelf-decrypterende shellcode.

Om in deze fase van de aanvalsketen onopgemerkt te blijven, gebruikt CoffeeLoader verschillende ontwijkingstechnieken. Het call stack spoofing-mechanisme verbergt de oorsprong van functieaanroepen. Deze techniek is ontworpen om beveiligingssoftware te omzeilen die call stack traces analyseert om verdacht gedrag te identificeren. Verder maakt CoffeeLoader gebruik van sleep obfuscation, een techniek waarbij de geheugenstatus versleuteld wordt wanneer deze inactief is, waardoor deze verborgen blijft voor beveiligingsscans.

Na installatie kopieert de dropper van CoffeeLoader de payload naar specifieke mappen, afhankelijk van de gebruikersrechten. Wanneer de gebruikersrechten hoog genoeg zijn, stelt de malware persistentie in met behulp van Windows Taakplanner.

Vervolgens injecteert de stager-component de hoofdmodule. Hierbij wordt de threaduitvoering gewijzigd om ervoor te zorgen dat de malware onopgemerkt blijft draaien. Dit gebeurt via Windows fibers. Dit is een manier om één thread meerdere uitvoeringscontexten te geven. Hierdoor kan CoffeeLoader sommige Endpoint Detection and Response (EDR)-oplossingen omzeilen omdat deze Windows fibers niet rechtstreeks monitoren of volgen.

Na registratie ontvangt de malware een bot-ID voordat taken worden aangevraagd via Windows Taakplanner. Bij verhoogde gebruikersrechten worden de taken meteen uitgevoerd. Wanneer dit niet het geval is, maken recente versies van CoffeeLoader elke 10 minuten taken aan. Bij eerdere versies was dit elke 30 minuten.

Overeenkomsten met SmokeLoader
ThreatLabz vond meerdere overeenkomsten tussen CoffeeLoader en een andere malwarefamilie, genaamd Smokeloader. Deze bevindingen suggereren een verband tussen de twee malwarefamilies. Overeenkomsten zijn onder meer:

• Beide gebruiken een stager om de hoofdmodule in een ander proces te injecteren.
• Beide genereren een bot-ID op basis van systeemgegevens en creëren een mutexnaam die aan de bot-ID is gekoppeld.
• Beide verwerken imports via hasing en slaan interne variabelen op in een globale structuur.
• Beide versleutelen netwerkverkeer met hardgecodeerde RC4-sleutels.
• Beide maken veelvuldig gebruik van low-level Windows API’s en wijzigen bestandskenmerken om verborgen te blijven.
• Beide gebruiken geplande taken voor persistentie, waarbij de nieuwste versie van CoffeeLoader elke 10 minuten taken uitvoert (zonder verhoogde gebruikersrechten).

In december 2024 werd de nieuwe versie van SmokeLoader aangekondigd. Veel (maar niet alle) functies van deze nieuwe versie van SmokeLoader zijn ook in CoffeeLoader te vinden. Het is te vroeg om te zeggen dat CoffeeLoader de volgende versie van SmokeLoader is, maar daar heeft het wel alle schijn van.

Conclusie
CoffeeLoader lijkt een nieuwe evolutie te zijn in de malware-markt. Het biedt geavanceerde ontwijkingstechnieken, zoals call stack spoofing, sleep obfuscation en Windows fibers, om detectie door antivirusprogramma’s, EDR’s en malware-sandboxes te omzeilen. Om de risico’s van dit soort geavanceerde malware te minimaliseren, moeten organisaties investeren in oplossingen die hen 24/7 volledig inzicht geven in hun omgeving en anomalieën snel kunnen detecteren.

Lees hier de volledige technische analyse van CoffeeLoader.

Over Zscaler
Zscaler (NASDAQ: ZS) versnelt digitale transformatie en maakt klanten meer agile, efficiënt, veerkrachtig en veilig. Het Zscaler Zero Trust Exchange platform beschermt duizenden klanten van cyberaanvallen en dataverlies door gebruikers, apparaten en applicaties veilig met elkaar te verbinden vanaf elke locatie. Verdeeld over meer dan 150 datacenters wereldwijd is de op SASE-gebaseerde Zero Trust Exchange het grootste inline cloud security-platform ter wereld.