Verschleierung im Schlaf


Neue Malware-Familie CoffeeLoader mit starken Verschleierungstechniken
Die neu entdeckte Malware wird über SmokeLoader verbreitet und die beiden Familien teilen auch ansonsten ähnliche Verhaltensweisen


Das Zscaler ThreatLabz-Team hat eine neue, hochentwickelte Malware-Familie enttarnt und ihr den Namen CoffeeLoader gegeben. Diese Malware treibt seit September 2024 ihr Unwesen und führt nach dem Herunterladen Payloads der zweiten Stufe aus. Um die Entdeckung zu verhindern und Endpoint Security Software zu untergraben, setzt CoffeeLoader unterschiedliche Verschleierungstechniken ein, darunter ein spezielles Packprogramm, das den Namen Armoury erhalten hat, das Code auf der GPU eines Systems ausführt, um die Analyse in virtuellen Umgebungen zu erschweren.

Weitere Funktionen der Malware sind Call Stack Spoofing, Verschleierung des Ruhezustands (Sleep Obfuscation) und die Verwendung von Windows Fibers. Zudem verwendet CoffeeLoader einen Domain-Generierungsalgorithmus (DGA), wenn die primären Befehls- und Kontrollkanäle nicht erreichbar sind, und nutzt Zertifikats-Pinning, um TLS-Man-in-the-Middle-Angriffe zu verhindern.

Die neu entdeckte Malware wird über SmokeLoader verbreitet und die beiden Familien teilen auch ansonsten ähnliche Verhaltensweisen. Die genaue Beziehung zwischen den beiden Malware-Familien ist jedoch noch nicht geklärt. Außerdem wird die Malware zur Verbreitung des Rhadamanthys-Shellcodes verwendet.

CoffeeLoader implementiert eine Technik, die als Sleep Obfuscation bekannt ist und dazu dient, sich vor Sicherheitstools zu verstecken, die den Speicher scannen. Bei dieser Methode werden Code und Daten der Malware verschlüsselt, während sie sich im Ruhezustand befindet. Somit sind die (unverschlüsselten) Artefakte der Malware nur dann im Speicher vorhanden, wenn ihr Code ausgeführt wird. Es gibt zahlreiche Open Source-Beispiele, die Sleep Obfuscation mit Timer Queues, Waitable Timers und Asynchronous Procedure Calls (APCs) implementieren.

Fazit
Die Fülle neuer Malware, mit denen Bedrohungsakteure versuchen an sensible Daten der User zu gelangen, nimmt stetig zu und CoffeeLoader reiht sich in eine lange Liste von Malware-Loadern ein. Durch die eingebauten Features und Verschleierungstaktiken kann CoffeeLoader durchaus mit den Mitbewerbern mithalten. Die Entwickler der Malware versuchen durch innovative Techniken, der Erkennung durch Anti-Viren-Programme, EDRs und Malware-Sandboxen zu entgehen. Die Zscaler Cloud Sandbox jedoch kann diese Kampagne und ihre zahlreichen Varianten erfolgreich erkennen. (Zscaler: ra)

eingetragen: 08.05.25

Zscaler: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Cyber-Angriffe

  • Signatur ist nicht gleich Signatur

    Geraten digitale Prozesse immer wieder ins Stocken, weil etwas unterzeichnet werden muss? Dann wird es Zeit, eine moderne Signaturlösung in die eigenen Abläufe zu integrieren. Bereits seit den 1970er Jahren wird immer wieder das papierlose Büro prognostiziert. Lange haben sich diese Prognosen eher als Papiertiger erwiesen, doch heute sind wir näher an der Umsetzung als je zuvor. In Zeiten von Tablets, 5G-Konnektivität und KI-Assistenten sind Ausdrucke für die meisten Büroangestellten eher zu einer Last geworden. Ganz verschwunden sind sie dennoch nicht und dafür sorgt nicht selten das Nadelöhr Unterschrift. Oft brechen an diesem Punkt Prozesse ab, die ansonsten vollständig digital ablaufen.

  • Identity Lifecycle Management

    Wirtschaftliche Veränderungen wirken sich auf nahezu alle Unternehmensbereiche aus. Immer betroffen ist die Belegschaft: Prosperiert ein Unternehmen, stellt es Leute ein, in Zeiten der Rezession versucht es durch Personalentlassungen Kosten einzusparen. In jedem Konjunkturzyklus, sei es Expansion, Rezession oder Erholung, entstehen durch personelle Fluktuation spezifische Herausforderungen für die Verwaltung von Mitarbeiter-, Kunden- und Partner-Identitäten - und somit auch für die IT-Sicherheit. Denn nicht mehr benötigten Nutzerkonten müssen Zugriffsrechte entzogen, neu angelegten solche gewährt werden und das alles in Einklang mit Unternehmens- und Compliance-Richtlinien. Den Lebenszyklus einer digitalen Identität zu verwalten, wird als Identity Lifecycle Management bezeichnet.

  • Datenklau als primäres Ziel

    Das Damoklesschwert Ransomware ist nicht neu, aber es schlägt immer etwas anders aus. Große Akteure wie LockBit und ALPHV/BlackCat sind scheinbar passé, doch in entstehende Lücken drängen neue, noch nicht etablierte Gruppen. Die Ransomware-as-a-Service (RaaS)-Gruppen revidieren zudem ihre interne Arbeitsaufteilung und -organisation. Selbst Staaten wie Russland und Nordkorea entdecken Ransomware als Einnahmequelle.

Gefälschte CAPTCHA-Verifizierungstests Schutz vor ClickFix & Co.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen