Thought Leadership
Das Zscaler ThreatLabz Team hat eine neue, hochentwickelte Malware-Familie identifiziert und ihr den Namen „CoffeeLoader“ gegeben. Diese Malware ist seit September 2024 aktiv und verwendet ausgeklügelte Methoden, um sich vor Sicherheitssoftware zu verstecken und ihre schädlichen Payloads zu verbreiten.
Im Folgenden werfen wir einen detaillierten Blick auf die Funktionsweise von CoffeeLoader und die eingesetzten Verschleierungstechniken.
Was ist CoffeeLoader?
CoffeeLoader ist eine Malware, die darauf ausgelegt ist, nach dem Herunterladen und der ersten Ausführung schädliche Payloads der zweiten Stufe auszuliefern. Um die Entdeckung durch Sicherheitslösungen zu erschweren, setzt CoffeeLoader verschiedene Techniken ein, die es dem Schadcode ermöglichen, unentdeckt zu bleiben. Ein wichtiger Bestandteil dieser Techniken ist ein spezielles Packprogramm mit dem Namen „Armoury“, das den Code auf der GPU des Systems ausführt und so die Analyse in virtuellen Umgebungen erschwert. Dies ist nur eine der vielen Methoden, mit denen CoffeeLoader den Zugriff auf Systeme verschleiert und ihre Aktivitäten maskiert.
Verschleierungstechniken von CoffeeLoader
Die Entwickler von CoffeeLoader haben eine Vielzahl fortschrittlicher Verschleierungstechniken integriert, um die Erkennung durch Sicherheitslösungen zu verhindern:
- Call Stack Spoofing: Diese Technik verändert die Call-Stack-Daten, um das Verhalten der Malware vor Analysewerkzeugen zu verbergen und die Nachverfolgbarkeit zu erschweren.
- Sleep Obfuscation (Verschleierung im Schlaf): Ein weiteres bemerkenswertes Merkmal von CoffeeLoader ist die Verwendung von „Sleep Obfuscation“. Bei dieser Methode wird der Code der Malware während der Inaktivität verschlüsselt, sodass er nur dann im Speicher zu finden ist, wenn er aktiv ausgeführt wird. Diese Technik erschwert es Sicherheitstools, die Malware im Ruhezustand zu entdecken.
- Verwendung von Windows Fibers: Diese Technik ermöglicht es der Malware, in parallelen Threads zu arbeiten, ohne dabei die üblichen Erkennungsmechanismen zu aktivieren.
Zusätzlich nutzt CoffeeLoader einen Domain-Generierungsalgorithmus (DGA), um neue Domains zu erstellen, wenn die primären Befehls- und Kontrollkanäle nicht erreichbar sind. Diese Methode sorgt dafür, dass die Malware weiterhin mit ihren Angreifern kommunizieren kann, selbst wenn eine Domain blockiert wird. Darüber hinaus wird Zertifikats-Pinning verwendet, um Man-in-the-Middle-Angriffe über TLS zu verhindern und die Kommunikation zu sichern.
Verbindung zu SmokeLoader und Rhadamanthys
Ein interessantes Detail in Bezug auf CoffeeLoader ist seine Verbreitung. Diese Malware wird über SmokeLoader verbreitet, eine andere bekannte Malware-Familie. Beide Malware-Typen zeigen ähnliche Verhaltensmuster, und es wird vermutet, dass sie in gewissem Maße miteinander verbunden sind. Jedoch ist die genaue Beziehung zwischen den beiden noch nicht vollständig geklärt. Zudem wird CoffeeLoader auch genutzt, um den Rhadamanthys-Shellcode zu verbreiten, eine weitere Bedrohung, die im Zusammenhang mit der Malware steht.
Die wachsende Bedrohung durch Malware-Loader
Die Entdeckung von CoffeeLoader zeigt erneut, wie sich die Bedrohungslage im Bereich der Malware ständig weiterentwickelt. Mit ihren raffinierten Verschleierungstechniken und dem gezielten Einsatz von fortschrittlichen Methoden zur Umgehung von Sicherheitslösungen stellt CoffeeLoader eine ernstzunehmende Gefahr für Endbenutzer und Unternehmen dar. Bedrohungsakteure entwickeln immer neue Wege, um die Erkennung von Malware zu umgehen und an sensible Daten zu gelangen.
Trotz dieser Bedrohung gibt es aber auch Fortschritte in der Erkennung solcher Malware. Die Zscaler Cloud Sandbox hat sich als effektiv erwiesen, um diese Kampagne und ihre Varianten zu erkennen und abzuwehren. Es bleibt jedoch entscheidend, dass Unternehmen und Endanwender ihre Sicherheitslösungen ständig aktualisieren, um solchen Angriffen wirksam begegnen zu können.
