Asus の Armoury Crate ソフトウェアを偽装し、悪意のあるコードで PC を感染させる新しいマルウェア ファミリが存在します。
CoffeeLoaderと呼ばれるマルウェアは、朝のコーヒーを自動で淹れてくれる未来的なキッチン家電のように聞こえるかもしれませんが、その目的ははるかに悪質です。PCに感染すると、サーバーに接続してインフォスティーラー形式のマルウェアをダウンロードし、ユーザーの情報や認証情報を盗みます。
Armoury Crateは、ASUSのゲーミングPCシリーズ向けに開発された独自のゲーミングアプリです。PCの動作モードやファンの回転速度など、ゲームパフォーマンスに不可欠な要素をコントロールできます。ASUSのデスクトップPCやゲーミングノートPCを使用しているゲーマーは、多くのゲーマーが望む操作であるため、感染のリスクにさらされています。
CoffeeLoader が極めて厄介なのは、ゲーマー向けPCに感染するように巧妙にコードが組まれている点です。Asusのソフトウェアを模倣するだけでなく、「Armoury」と呼ばれるパッカーを使用して、コードの一部を被害者のGPU(グラフィックカード)にロードします。AsusのゲーミングPCユーザーは皆GPUを搭載しているため、この手法の影響を受けやすいのです。また、CPUではなくGPUを標的としている点も、このマルウェアが巧妙に検出を逃れる巧妙な手段となっています。というのも、ほとんどのウイルススキャナーはGPUをスキャンしないからです。
CoffeeLoader マルウェアは、Asus の Armoury Crate アプリを模倣します。
マーク・ハックマン / ファウンドリー
CoffeeLoaderマルウェアは、ウイルス対策ソフトウェアによる検出を回避するために、他の手法も利用しています。その一つが「スリープ難読化」と呼ばれるもので、システムメモリ内の非アクティブな暗号化ファイル内に自身を閉じ込め、読み取り不能にします。また、Windowsファイバー(ユーザーのPCがマルチタスクを実行する際に利用される)といった特殊な経路も利用して、検知されないよう防御しています。
さらに、CoffeeLoaderはコールスタックスプーフィングを実行し、自身の痕跡を消去します。通常、プログラムを実行すると、雪に残る足跡のようにコードの痕跡が残ります。しかし、CoffeeLoaderは残すコードを無害なプログラムのように見せかける程度に改変できるため、悪意のあるコードの痕跡を探しているウイルス対策プログラムを欺くことができます。
このマルウェアを発見したサイバーセキュリティ企業Zscalerは、CoffeeLoaderの発生年代を2024年9月に遡らせています。SmokeLoaderと呼ばれる別のマルウェアとの技術的な類似点から、CoffeeLoaderはSmokeLoaderの新たな亜種である可能性があると推測しています。しかし、断言するには時期尚早です。
現時点では、CoffeeLoader による感染を避ける最善の方法は、Asus の Armoury Crate ソフトウェアをサードパーティのサイトではなく、同社の Web サイトから直接ダウンロードすることです。
著者: ドミニク・ベイリー、PCWorldオーストラリア編集者
オーストラリアを拠点とするドミニク・ベイリーは、筋金入りのテクノロジー愛好家です。彼のPCWorldは、主にPCゲーム用ハードウェア(ノートパソコン、マウス、ヘッドセット、キーボード)に焦点を当てています。
