Attenzione a questo malware, infetta le GPU dei PC Asus

C’è un nuovo e sofisticato malware che sta prendendo di mira gli utenti che utilizzano i PC da gaming prodotti da Asus e per farlo sfrutta una strategia ingegnosa, camuffandosi dal software di configurazione rilasciato dall’azienda produttrice. Il software malevolo, battezzato CoffeeLoader, è stato individuato per la prima volta nel settembre 2024 e, vista la crescente diffusione, ha attirato l’attenzione degli esperti di sicurezza informatica.

Come funziona il malware CoffeeLoader

Secondo un report condiviso da PCWorld e basato su un’analisi condotta da Zscaler, società che si occupa di cybersecurity, CoffeeLoader si camuffa da Armoury Crate, l’applicazione ufficiale di Asus utilizzata per la gestione delle prestazioni, dell’illuminazione RGB e delle periferiche dei computer da gaming.

Una volta installato sul computer, il tool malevolo avvia una serie di attacchi che includono il download di payload malevoli da server remoti, con funzioni da infostealer, andando a trafugare credenziali di accesso, informazioni sensibili e dati di pagamento.

Una delle caratteristiche più pericolose di questo malware è proprio il suo metodo di occultamento che, tramite un packer chiamato Armoury (che non ha niente a che vedere con Armoury Crate), è in grado di caricare parte del codice malevolo direttamente nella memoria della GPU. Una soluzione ingegnosa, che rappresenta un’evoluzione nei metodi di aggressione, dato che la maggior parte degli antivirus e dei software di protezione non analizza la memoria delle schede grafiche, concentrandosi esclusivamente sulla RAM e sui file di sistema, permettendo così al malware di passare inosservato.

Oltre a questo, CoffeeLoader adotta altre tecniche avanzate per sfuggire al rilevamento. Una di queste è la Sleep obfuscation, che consiste nel memorizzare porzioni di codice malevolo in forma criptata e inattiva, pronte ad essere attivate solo al momento opportuno. Il malware è anche in grado di modificare la propria presenza in memoria per apparire come un processo legittimo, riducendo ulteriormente le possibilità di individuazione.

Dal report di Zscaler si evidenzia, inoltre, che il modus operandi di questo strumento presenta diverse analogie con un altro malware noto, SmokeLoader, che da anni circola in rete. Anche se non è ancora stata confermata una connessione diretta tra i due, gli analisti ipotizzano che CoffeeLoader possa essere una variante evoluta o un derivato dello stesso.

Come proteggersi da CoffeeLoader

Come appena detto, CoffeeLoader utilizza tecniche di aggressione estremamente sofisticate, tuttavia, proteggersi da questa nuova minaccia informatica è possibile.

Gli esperti, infatti, suggeriscono di scaricare Armoury Crate esclusivamente dal sito ufficiale di Asus e di non affidarsi a link trovati in forum, e-mail o qualsiasi altro canale non verificato. È inoltre essenziale mantenere aggiornati antivirus e sistemi operativi e prestare sempre attenzione a comportamenti anomali del sistema, soprattutto se si utilizzano PC da gaming.