Advertentie
Opgepast bezitters van Asus-hardware: cybersecuritybedrijf Zscaler heeft een nepversie van Armoury Crate ontdekt die een systeem infecteert met malware. De officiële versie van deze software is bedoeld voor het aansturen van componenten en randapparatuur, van moederborden tot audio en rgb-verlichting.
Zscalers ThreatLabz-divisie heeft de packer van het zogenaamde CoffeeLoader ‘Armoury’ genoemd, aangezien die de officiële Asus Armoury Crate-software nabootst. Eenmaal ingeschakeld downloadt CoffeeLoader de Rhadamanthys-infostealer om gevoelige gegevens van slachtoffers te bemachtigen.
De malafide versie van Armoury gebruikt verschillende trucjes om onder de radar te blijven. Zo voert de malware bijvoorbeeld zijn code deels uit op de gpu van het systeem. Antivirussoftware controleert doorgaans de activiteit van de gpu niet, wat wil zeggen dat de schadelijke code minder snel wordt ontdekt. Daarbij komt dat deze manier van werken de analyse in virtuele omgevingen bemoeilijkt.
ThreatLabz stelde de eerste CoffeeLoader-aanvallen vast in september 2024. Het in mei 2024 ontdekte SmokeLoader vertoont verschillende overeenkomstige technische eigenschappen, al is het niet duidelijk of CoffeeLoader eerstgenoemde vervangt of daaraan gerelateerd is. Het valt in ieder geval aan te raden om Armoury Crate enkel bij Asus zelf te downloaden.