Специалисты по кибербезопасности из Zscaler ThreatLabz выявили новую угрозу — CoffeeLoader, загрузчик вредоносного ПО, который отличается поразительной скрытностью. Он использует обфускацию сна, подмену стека вызовов и даже выполнение кода на графическом процессоре (GPU), чтобы оставаться незаметным для антивирусов.

Чтобы обойти защитные механизмы, CoffeeLoader подменяет стек вызовов — своеобразные «хлебные крошки», по которым антивирусы отслеживают активность программ. Вместо реальных записей он подставляет ложные данные, скрывая свои следы.

Кроме того, программа шифрует свой код в состоянии покоя, а при выполнении использует пользовательские потоки (fibers) Windows — ручное переключение между контекстами выполнения, которое затрудняет обнаружение.

Но самым тревожным элементом оказался упаковщик Armoury, задействующий графический процессор. Код CoffeeLoader исполняется на видеокарте, а затем передаёт в процессор расшифрованный шелл-код для запуска вредоносного ПО. Такой метод затрудняет анализ в виртуальных средах и делает угрозу крайне сложной для обнаружения.

CoffeeLoader активно использовался для загрузки вредоносных нагрузок, включая шелл-код Rhadamanthys, применяемый в атаках на личные данные. Эксперты предупреждают: с таким уровнем маскировки новая волна вредоносов может стать ещё более коварной.