משפחה חדשה של תוכנות זדוניות ממוקדות למשתמשי Windows על ידי התחזה לכלי עזר של ASUS להעברת קוד זדוני – אך אולי ביותר באופן הכי מדובר, היא משתמשת בטכניקות מרובות כדי להסתיר את עצמה מתוכנת האנטי -וירוס הטובה ביותר וכלי אבטחה אחרים.
כפי שפורסם על ידי CyberNews, תוכנת הזדוניות של Coffeeloader, שזוהו על ידי חוקרים מחברת אבטחת הסייבר Zscaler, מחקה את ארגז Armory של אסוס. כלי עזר זה משמש להגדרת ולנהל את המחשבים הניידים הטובים ביותר של המשחקים מ- ASUS כמו גם את ציוד היקפי האחרים של החברה.
החוקרים אומרים כי Coffeeloader מקורו בסביבות ספטמבר 2024 ויש להם כמה קווי דמיון לתוכנה הזדונית של Smokeloader.
לאחר שהתוכנה הזדונית דבקה במערכת, היא מספקת כמה אינפוסטילרים – ביניהם האינפוסטילר Rhadamanthys הידוע. משם הוא משתמש במספר טריקים כדי להישאר ללא זיהוי על ידי תוכניות אנטי -וירוס וכלי אבטחה אחרים.
לדוגמה, זה יפעל קוד ב- GPU של מערכות נגועות במקום ב- CPU של המחשב. מכיוון שרוב תוכניות האבטחה וסורקי האנטי -וירוס לא בודקים את ה- GPU, התוכנה הזדונית נשארת מוסתרת.
דרך נוספת שהיא מכסה את עקבותיה היא באמצעות טכניקה בשם Call Stack Spuping. בעוד שרוב התוכניות משאירות אחריו מסלול של שיחות פונקציות, התוכנה הזדונית של Coffeeloader יכולה לשנות את השביל שלה כדי לגרום לו להראות לא מזיק. זה מונע ממנו להיות מוכר כחשד או מזיק על ידי כל תוכנת אבטחה או תוכניות אנטי -וירוס.
זה יכול גם "לשחק מת" או להשתמש בטכניקה הנקראת ערפול שינה. בעיקרון, כאשר הוא לא פעיל, הוא "ינעל" את עצמו לצורה מוצפנת בזיכרון המחשב; אם כלי אנטי -וירוס סורק את הזיכרון הוא לא ימצא שום דבר קריא.
התוכנה הזדונית של Coffeeloader ניגשת גם לנתיבים חריגים, למשל סיבי חלונות, על מנת להתחמק מהגילוי. סיבי Windows הם דרך בה התוכניות מטפלות במשימות מרובות המאפשרות לתוכנית לעבור בין משימות בפני עצמה במקום להסתמך על Windows. לאחר מכן Coffeeloader יכול להשתמש בסיבים אלה כדי להתחמק מאיתור מכיוון שכלי אבטחה עשויים שלא לפקח עליהם.
איך להישאר בטוחים
על מנת לשמור על הנתונים שלך ואת ציוד ה- ASUS שלך בטוחים מהתוכנה הזדונית של Coffeeloader, אתה רוצה להבטיח שאתה מוריד ארגז ארמורי מהאתר הרשמי של החברה ותוכל למצוא את דף ההורדה כאן.
האקרים מתחזים לעתים קרובות מותגים פופולריים והתוכנה שלהם כאמצעי להדביק משתמשים בלתי מעורערים עם תוכנות זדוניות. זו הסיבה שאתה תמיד רוצה ללכת ישירות לאתר של חברה במקום לסמוך על קישורי הורדה המופיעים ברשת בפורומים או אפילו כמודעות בתוצאות חיפוש.
ממש כמו כל אחד אחר, האקרים יכולים בקלות לרכוש שטח מודעות באופן מקוון ואז על ידי יצירת דף מראה משכנע, הם יכולים להערים על משתמשים בהעלאת המשתמשים להוריד תוכנה זדונית למחשבים האישיים שלהם דרך המודעות הזדוניות שלהם.
כעת, לאחר שראינו את Coffeeloader מתחזה ל- ASUS, סביר להניח שההאקרים שמאחורי קמפיין זה ינסו לדגמן כשירותים פופולריים אחרים כדי ליצור מחדש את ההתקפה הזו. זו הסיבה שאתה צריך לתרגל היגיינת סייבר טובה ולהישאר ערנית ברשת, במיוחד בעת הורדת תוכנה חדשה.
