ASUS a punta de pistola: CoffeeLoader ataca bajo la apariencia de Armory Crate
Los piratas informáticos interceptan recursos de GPU para instalar de forma encubierta ladrones de información.
A primera vista, el nombre aparentemente inofensivo del nuevo malware CoffeeLoader puede resultar engañoso. Bajo la apariencia de un "asistente cafetero" se oculta un mecanismo sofisticado de infección para dispositivos con Windows, capaz de evadir la protección de los antivirus e implantar programas espía peligrosos.
Investigadores de la empresa Zscaler fueron los primeros en detectar la actividad de este nuevo cargador malicioso. Según sus estimaciones, CoffeeLoader apareció aproximadamente en septiembre de 2024. Su objetivo principal son los usuarios de Windows, cuyos equipos pueden infectarse bajo la apariencia de la utilidad oficial Armoury Crate de ASUS. Una vez infiltrado en el sistema, CoffeeLoader descarga software malicioso, incluido el conocido infostealer Rhadamanthys.
Los desarrolladores del malware han aplicado técnicas avanzadas para hacerlo prácticamente invisible ante las soluciones antivirus. Entre ellas se encuentra la adopción de tácticas propias de los equipos de red team, utilizadas habitualmente para evaluar la seguridad de los sistemas.
Una de estas técnicas consiste en el uso de su propio empaquetador, Armoury Packer. El código malicioso no se ejecuta a través del procesador central estándar, sino mediante la unidad de procesamiento gráfico (GPU). Esto permite eludir la lógica típica de los antivirus, que no monitorizan la actividad del GPU.
Otro método de ocultación es la falsificación de la pila de llamadas. Normalmente, los programas dejan una secuencia de funciones que permite rastrear sus acciones. CoffeeLoader modifica esta cadena para parecer una aplicación legítima y evitar sospechas.
Además, el arsenal del malware incluye la técnica de ofuscación mediante suspensión (Sleep Obfuscation). Cuando no está activo, su código permanece cifrado y almacenado en la memoria RAM en una forma inaccesible para el análisis. Esto impide que los sistemas de protección detecten señales de infección incluso durante un escaneo profundo.
Un mecanismo adicional de camuflaje es el uso de “fibras” de Windows (Windows Fibers). Este sistema permite que un solo hilo ejecute múltiples tareas sin intervención del sistema operativo. CoffeeLoader puede utilizar fibras para permanecer en estado de “sueño”, cambiando entre tareas de forma imperceptible sin activar los disparadores de seguridad.
Algunos expertos han notado similitudes entre CoffeeLoader y el conocido SmokeLoader. En diciembre de 2024, los creadores de este último supuestamente anunciaron el lanzamiento de una versión actualizada. Los investigadores de Zscaler señalan que CoffeeLoader incluye funciones que coinciden con las anunciadas en dicha versión. No obstante, aún es pronto para sacar conclusiones definitivas sobre una relación entre ambos programas.
La aparición de CoffeeLoader ilustra la tendencia hacia el uso de técnicas cada vez más sofisticadas de ocultamiento y evasión de los sistemas de seguridad. Los usuarios deben tener precaución incluso al descargar software oficial y actualizar regularmente las bases de datos antivirus para aumentar las probabilidades de detectar amenazas como esta.
Las huellas digitales son tu debilidad, y los hackers lo saben