Bí mật CoffeeLoader: Kỹ thuật Lẩn Tránh và Mối Đe Dọa AI

27/03/2025
2 mins read


Malware CoffeeLoader

1. Xuất hiện và Phân phối:

  • Nguồn gốc: CoffeeLoader xuất hiện khoảng tháng 9 năm 2024.
  • Phân phối: Nó được phân phối qua SmokeLoader, với cả hai họ malware chia sẻ những điểm tương đồng về hành vi.

2. Kỹ thuật lẩn tránh:

  • Bóp méo ngăn xếp gọi: CoffeeLoader thực hiện kỹ thuật bóp méo ngăn xếp gọi để lẩn tránh phần mềm bảo mật. Kỹ thuật này làm giả ngăn xếp gọi để che giấu nguồn gốc của một cuộc gọi hàm, khiến phần mềm bảo mật khó phát hiện hành vi đáng ngờ.
  • Che giấu bằng giấc ngủ: Malware sử dụng che giấu bằng giấc ngủ để lẩn tránh việc phát hiện. Điều này liên quan đến việc thiết lập một quy trình với Control Flow Guard (CFG) được bật và sau đó thêm các ngoại lệ cho CFG cho những hàm cụ thể để vượt qua các ràng buộc của CFG.
  • Sợi Windows: CoffeeLoader sử dụng sợi Windows để thực hiện che giấu bằng giấc ngủ, điều này có thể lẩn tránh việc phát hiện bởi một số Endpoint Detection and Response (EDRs).

3. Giao thức giao tiếp:

  • Giao thức HTTPS: CoffeeLoader sử dụng giao thức HTTPS cho các giao tiếp chỉ huy và kiểm soát (C2). Nó gửi yêu cầu bằng cách sử dụng phương thức POST với một user-agent cố định giả mạo là iPhone.

4. Giao hàng tải trọng:

  • Rhadamanthys Stealer: Tải trọng chính được giao bởi CoffeeLoader là Rhadamanthys stealer, một malware thu thập thông tin bằng C++ hoạt động từ cuối năm 2022. Nó nhắm tới dữ liệu nhạy cảm bao gồm thông tin đăng nhập từ các trình duyệt web, khách hàng VPN, khách hàng email, ứng dụng trò chuyện và ví tiền điện tử.
  • Các khả năng dựa trên AI: Các bản cập nhật gần đây của Rhadamanthys bao gồm các khả năng dựa trên AI như nhận diện ký tự quang học (OCR) để trích xuất cụm từ hạt giống ví tiền điện tử từ hình ảnh, làm tăng mối đe dọa cho người dùng tiền điện tử.

5. Thuật toán tạo miền (DGA):
CoffeeLoader sử dụng thuật toán tạo miền (DGA) như một kênh giao tiếp dự phòng để ngăn chặn các cuộc tấn công man-in-the-middle TLS.

6. Ghim chứng chỉ:
Malware áp dụng ghim chứng chỉ để ngăn chặn các cuộc tấn công man-in-the-middle TLS, đảm bảo giao tiếp an toàn với các máy chủ C2 của nó.

Kết luận:
CoffeeLoader là một họ malware cực kỳ tinh vi, sử dụng nhiều kỹ thuật lẩn tránh tiên tiến để vượt qua các giải pháp bảo mật. Khả năng giao hàng của Rhadamanthys stealer, bao gồm các khả năng dựa trên AI, khiến nó trở thành một mối đe dọa đáng kể cho cả tổ chức và cá nhân. Hiểu biết về những kỹ thuật lẩn tránh này và triển khai các cơ chế phòng thủ mạnh mẽ là rất quan trọng để bảo vệ chống lại những họ malware tinh vi như vậy.