Neue Malware-Familie CoffeeLoader mit starken Verschleierungstechniken
Das Zscaler ThreatLabz Team hat eine neue, hochentwickelte Malware-Familie enttarnt und ihr den Namen CoffeeLoader gegeben. Diese Malware treibt seit September 2024 ihr Unwesen und führt nach dem Herunterladen Payloads der zweiten Stufe aus. Um die Entdeckung zu verhindern und Endpoint Security Software zu untergraben, setzt CoffeeLoader unterschiedliche Verschleierungstechniken ein, darunter ein spezielles Packprogramm, das den Namen Armoury erhalten hat, das Code auf der GPU eines Systems ausführt, um die Analyse in virtuellen Umgebungen zu erschweren. Weitere Funktionen der Malware sind Call Stack Spoofing, Verschleierung des Ruhezustands (Sleep Obfuscation) und die Verwendung von Windows Fibers. Zudem verwendet CoffeeLoader einen Domain-Generierungsalgorithmus (DGA), wenn die primären Befehls- und Kontrollkanäle nicht erreichbar sind, und nutzt Zertifikats-Pinning, um TLS-Man-in-the-Middle-Angriffe zu verhindern.
Die neu entdeckte Malware wird über SmokeLoader verbreitet und die beiden Familien teilen auch ansonsten ähnliche Verhaltensweisen. Die genaue Beziehung zwischen den beiden Malware-Familien ist jedoch noch nicht geklärt. Außerdem wird die Malware zur Verbreitung des Rhadamanthys-Shellcodes verwendet.
Abbildung 1: Beispiel einer gefälschten CoffeeLoader-Aufrufspur für RtlRandomEx (Quelle: Zscaler 2025).
Verschleierung im Schlaf
CoffeeLoader implementiert eine Technik, die als Sleep Obfuscation bekannt ist und dazu dient, sich vor Sicherheitstools zu verstecken, die den Speicher scannen. Bei dieser Methode werden Code und Daten der Malware verschlüsselt, während sie sich im Ruhezustand befindet. Somit sind die (unverschlüsselten) Artefakte der Malware nur dann im Speicher vorhanden, wenn ihr Code ausgeführt wird. Es gibt zahlreiche Open Source-Beispiele, die Sleep Obfuscation mit Timer Queues, Waitable Timers und Asynchronous Procedure Calls (APCs) implementieren.
Fazit
Die Fülle neuer Malware, mit denen Bedrohungsakteure versuchen an sensible Daten der User zu gelangen, nimmt stetig zu und CoffeeLoader reiht sich in eine lange Liste von Malware-Loadern ein. Durch die eingebauten Features und Verschleierungstaktiken kann CoffeeLoader durchaus mit den Mitbewerbern mithalten. Die Entwickler der Malware versuchen durch innovative Techniken, der Erkennung durch Anti-Viren-Programme, EDRs und Malware-Sandboxen zu entgehen. Die Zscaler Cloud Sandbox jedoch kann diese Kampagne und ihre zahlreichen Varianten erfolgreich erkennen.
Abbildung 2: Zscaler Cloud Sandbox-Bericht für CoffeeLoader (Quelle: Zscaler 2025).
Weitere Informationen und eine detaillierte Analyse der CoffeeLoader Maleware finden Sie im Zscaler Blog.
Neue Malware-Familie CoffeeLoader mit starken Verschleierungstechniken
Das Zscaler ThreatLabz Team hat eine neue, hochentwickelte Malware-Familie enttarnt und ihr den Namen CoffeeLoader gegeben. Diese Malware treibt seit September 2024 ihr Unwesen und führt nach dem Herunterladen Payloads der zweiten Stufe aus. Um die Entdeckung zu verhindern und Endpoint Security Software zu untergraben, setzt CoffeeLoader unterschiedliche Verschleierungstechniken ein, darunter ein spezielles Packprogramm, das den Namen Armoury erhalten hat, das Code auf der GPU eines Systems ausführt, um die Analyse in virtuellen Umgebungen zu erschweren. Weitere Funktionen der Malware sind Call Stack Spoofing, Verschleierung des Ruhezustands (Sleep Obfuscation) und die Verwendung von Windows Fibers. Zudem verwendet CoffeeLoader einen Domain-Generierungsalgorithmus (DGA), wenn die primären Befehls- und Kontrollkanäle nicht erreichbar sind, und nutzt Zertifikats-Pinning, um TLS-Man-in-the-Middle-Angriffe zu verhindern.
Die neu entdeckte Malware wird über SmokeLoader verbreitet und die beiden Familien teilen auch ansonsten ähnliche Verhaltensweisen. Die genaue Beziehung zwischen den beiden Malware-Familien ist jedoch noch nicht geklärt. Außerdem wird die Malware zur Verbreitung des Rhadamanthys-Shellcodes verwendet.
Abbildung 1: Beispiel einer gefälschten CoffeeLoader-Aufrufspur für RtlRandomEx (Quelle: Zscaler 2025).
Verschleierung im Schlaf
CoffeeLoader implementiert eine Technik, die als Sleep Obfuscation bekannt ist und dazu dient, sich vor Sicherheitstools zu verstecken, die den Speicher scannen. Bei dieser Methode werden Code und Daten der Malware verschlüsselt, während sie sich im Ruhezustand befindet. Somit sind die (unverschlüsselten) Artefakte der Malware nur dann im Speicher vorhanden, wenn ihr Code ausgeführt wird. Es gibt zahlreiche Open Source-Beispiele, die Sleep Obfuscation mit Timer Queues, Waitable Timers und Asynchronous Procedure Calls (APCs) implementieren.
Fazit
Die Fülle neuer Malware, mit denen Bedrohungsakteure versuchen an sensible Daten der User zu gelangen, nimmt stetig zu und CoffeeLoader reiht sich in eine lange Liste von Malware-Loadern ein. Durch die eingebauten Features und Verschleierungstaktiken kann CoffeeLoader durchaus mit den Mitbewerbern mithalten. Die Entwickler der Malware versuchen durch innovative Techniken, der Erkennung durch Anti-Viren-Programme, EDRs und Malware-Sandboxen zu entgehen. Die Zscaler Cloud Sandbox jedoch kann diese Kampagne und ihre zahlreichen Varianten erfolgreich erkennen.
Abbildung 2: Zscaler Cloud Sandbox-Bericht für CoffeeLoader (Quelle: Zscaler 2025).
Weitere Informationen und eine detaillierte Analyse der CoffeeLoader Maleware finden Sie im Zscaler Blog.