محققان امنیت سایبری بدافزار پیچیده جدیدی به نام CoffeeLoader را بررسی کردند که برای دانلود و اجرای پیلودهای ثانویه طراحی شده است.
بر اساس گزارش Zscaler ThreatLabz، این بدافزار شباهتهای رفتاری را با لودر بدافزار شناخته شده SmokeLoader دارد و هدف آن دانلود و اجرای پیلودهای مرحله دوم در حالی است که از شناسایی توسط محصولات امنیتی مبتنی بر نقطه پایانی فرار میکند. این بدافزار به منظور دور زدن راهکارهای امنیتی، تکنیکهای متعددی از جمله یک packer تخصصی که از GPU استفاده میکند، جعل تماس پشته، مبهمسازی خواب (sleep obfuscation) و استفاده از فیبرهای ویندوز بهره میبرد.
CoffeeLoader که در سپتامبر 2024 ایجاد شد، از الگوریتم تولید دامنه (DGA) به عنوان مکانیزم بازگشتی در صورت غیر قابل دسترس شدن کانالهای فرمان و کنترل اولیه (C2) استفاده میکند. مرکز این بدافزار یک packer به نام Armory است که کد را روی GPU سیستم اجرا میکند تا تجزیه و تحلیل را در محیطهای مجازی پیچیده کند. این نام به دلیل این واقعیت است که جعل ابزار قانونی Armory Crate است که توسط ASUS توسعه یافته است.
https://thehackernews.com/2025/03/coffeeloader-uses-gpu-based-armoury.html
