Un nouveau malware, aux relents amers, CoffeeLoader, se fait passer pour l'application Armoury Crate d'Asus. Il infecte les PC des joueurs en chargeant son code directement sur le GPU plutôt que sur le CPU c la plupart des antivirus n'analysent pas les cartes graphiques.
Amateurs de café et de performances de jeux sur PC Asus, vous allez moins aimer CoffeeLoader, le dernier malware découvert par l'entreprise de cybersécurité Zscaler en septembre 2024. Cette sale bête cible spécifiquement les PC gaming, notamment ceux de la marque Asus.
Propagé selon les méthodes habituelles, par le biais de pièces jointes d'e-mails infectés, publicités en ligne malveillantes, ou enocre ingénierie sociale, et autres « cracks » de logiciels, il imite à la perfection Armoury Crate, le logiciel propriétaire d'Asus qui permet aux joueurs de contrôler les performances de leur ordinateur, la vitesse des ventilateurs et d'autres fonctionnalités essentielles pour les gamers. Une fois installé, CoffeeLoader se connecte à un serveur distant pour télécharger des programmes supplémentaires, notamment un infostealer qui dérobe les informations personnelles et les identifiants des utilisateurs.
02 mars 2025 à 13h15
Ce malware utilise votre carte graphique comme cachette pour échapper aux antivirus
Si on reste en surface, CoffeeLoader est un infostealer comme les autres. Mais dans les petites lignes, c'est plus subtil. Au lieu de stocker son code malveillant dans le processeur (CPU) de l'ordinateur, il utilise un outil de compression appelé « Armoury » pour transférer une partie de son code directement sur la carte graphique (GPU) de la victime. Cette feinte est particulièrement efficace contre les gamers qui possèdent tous une carte graphique puissante. Les antivirus traditionnels ne détectent pas cette menace car ils ne sont généralement pas programmés pour analyser le contenu du GPU. Les joueurs se retrouvent ainsi vulnérables malgré leurs logiciels de protection.
Pour PCWorld, l'expert Dominic Bayley explique que « ce qui rend CoffeeLoader si redoutable, c'est sa capacité à infecter les PC gamers. Non seulement il imite le logiciel Asus, mais il utilise également un outil de compression appelé "Armoury" qui charge une partie de son code sur le GPU de la victime ».
Les chercheurs ont également découvert des similitudes techniques entre CoffeeLoader et un autre malware connu sous le nom de SmokeLoader, ce qui laisse penser qu'il pourrait s'agir d'une évolution de ce dernier. Toutefois, les experts de Zscaler restent prudents et précisent qu'il est encore trop tôt pour affirmer avec certitude cette filiation.
Le malware emploie plusieurs techniques avancées pour masquer sa présence sur votre ordinateur
Au-delà de son utilisation du GPU comme cachette, CoffeeLoader dispose d'un arsenal complet de techniques d'évasion pour rester indétectable. La « Sleep Obfuscation » est l'une de ses méthodes les plus efficaces : le malware s'enferme dans la mémoire système sous forme d'un fichier inactif et chiffré, ce qui le rend illisible pour les antivirus.
CoffeeLoader exploite également des chemins d'exécution peu conventionnels comme les fibres Windows. Ces fibres sont utilisées par les ordinateurs en mode multitâche et ne sont généralement pas considérées comme suspectes par les logiciels de sécurité. Cette méthode permet au malware de fonctionner en arrière-plan sans attirer l'attention.
Et ça n'est pas fini. CoffeeLoader peut effectuer une usurpation de pile d'appels. Normalement, les programmes laissent des traces de code lors de leur exécution, comparables à des empreintes dans la neige. Le malware modifie ces traces juste assez pour qu'elles ressemblent à celles d'un programme légitime. Cette technique trompe les antivirus qui recherchent des signatures de code malveillant.
Bien sûr, les experts ne font pas que chercher, ils protègent et préviennent. Pour éviter l'infection par CoffeeLoader, ils recommandent tout simplement de toujours télécharger, s'il ne l'est pas nativement, le logiciel Armoury Crate directement depuis le site officiel d'Asus. Les versions proposées sur des sites tiers présentent un risque élevé d'être des versions compromises.
