Il y a une nouvelle famille de logiciels malveillants qui usurpant l’identité du logiciel de caisse d’armure d’Asus et infecte des PC avec du code malveillant.
Les logiciels malveillants connus sous le nom de Coffeeloader peuvent ressembler à un appareil de cuisine futuriste qui vous verse automatiquement un breuvage du matin, mais son intention est beaucoup plus néfaste. Une fois qu’il a infecté votre PC, il se connecte à un serveur pour télécharger des logiciels malveillants supplémentaires sous la forme d’un infostecteur, puis vole vos informations et vos informations d’identification.
Armory Crate est l’application de jeu propriétaire d’Asus pour la gamme de PC de jeu de l’entreprise. Il permet aux utilisateurs de contrôler les aspects critiques de leurs performances de jeu, y compris le mode de fonctionnement de leur PC, les vitesses des ventilateurs, etc. Les joueurs utilisant les PC de bureau et les ordinateurs portables de jeu d’ASUS sont à risque d’infection, car ce sont les choses que la plupart des joueurs voudront faire.
La chose qui rend Coffeeoader si noueusement, c’est la bonne codance d’infecter les PC des joueurs. Non seulement il imite le logiciel d’Asus, mais il utilise également un packer appelé «armurerie» qui charge une partie de son code sur le GPU de la victime (ou la carte graphique). Étant donné que tous les utilisateurs avec ASUS Gaming PC ont des GPU, ils sont vulnérables à cette technique. Et le fait qu’il cible le GPU d’un utilisateur plutôt que son processeur est également un moyen sournois pour les logiciels malveillants d’échapper à la détection, car la plupart des scanners de virus ne scannent généralement pas le GPU.
Le logiciel malveillant Coffeeoader utilise également d’autres techniques pour éviter d’être découvertes par les logiciels antivirus. L’un est appelé l’obscurcissement du sommeil, par lequel il se verrouille dans la mémoire du système dans un fichier inactif et crypté qui ne peut pas être lu. Le malware utilise également des voies inhabituelles pour rester inaperçues, comme les fibres Windows (qui sont utilisées par le PC d’un utilisateur lorsqu’ils sont multitâches).
De plus, Coffeeoader peut effectuer l’usurpation de pile d’appels pour éradiquer les traces de lui-même. En règle générale, lorsque les programmes fonctionnent, ils laissent des traces de code derrière des empreintes de pas dans la neige. Mais Coffeeoader est capable de changer le code qu’il laisse juste assez pour apparaître comme un programme bénin, trompant ainsi les programmes antivirus à la recherche de traces de code malveillant.
Zscaler, l’entreprise de cybersécurité qui a découvert le malware, remonte à Coffeeoader à septembre 2024. Avec des similitudes techniques avec un autre logiciel malveillant appelé SmokeLoader, ils supposent que cela pourrait indiquer que Coffeeoder est une nouvelle variante de ce logiciel malveillant. Mais il est trop tôt pour le dire avec certitude.
À l’heure actuelle, la meilleure façon d’éviter les infections par CoffeEloader est de vous assurer de télécharger le logiciel de caisse à armure d’Asus directement sur le site Web de l’entreprise plutôt que de tout site tiers.
