Novo malware usa a tua GPU para espalhar código malicioso

Os ciberataques estão a ganhar novas dimensões com uma ameaça inesperada: a utilização das GPUs (unidades de processamento gráfico) para executar códigos maliciosos. Investigadores da Zscaler descobriram recentemente um novo malware chamado CoffeeLoader, que se apresenta disfarçado de software legítimo, imitando a popular ferramenta Armoury Crate da Asus. Este avanço na técnica de ciberataque preocupa especialistas pela sua capacidade de evasão e alta sofisticação.

Como funciona o CoffeeLoader?

O CoffeeLoader é um tipo de malware conhecido como “loader”, utilizado por atacantes para distribuir outros códigos maliciosos. Neste caso em específico, o malware é inserido numa versão adulterada da aplicação Armoury Crate. Para quem não sabe, Armoury Crate é uma ferramenta amplamente utilizada por donos de computadores e equipamentos da Asus para gerir funcionalidades de dispositivos como portáteis, placas gráficas e dispositivos de jogos portáteis.

Depois de descarregares a versão comprometida da aplicação, o CoffeeLoader substitui alguns dos ficheiros legítimos por um código malicioso encriptado. Aqui entra a inovação: em vez de confiar apenas no CPU, o malware utiliza a GPU para desencriptar a informação. Este processo é realizado com recurso à biblioteca OpenCL, uma tecnologia compatível com a maioria das GPUs disponíveis no mercado. Após a desencriptação, o código é enviado para o CPU, onde é executado.

Técnicas avançadas de camuflagem

Um dos aspetos mais impressionantes — e preocupantes — do CoffeeLoader é a sua capacidade de evitar os métodos tradicionais de deteção. Para isso, o malware utiliza uma combinação de técnicas sofisticadas:

• Encriptação em estado de inatividade: Enquanto não está em execução, o código e os dados do malware permanecem encriptados, tornando a sua deteção praticamente impossível.
• Falsificação da pilha de chamadas (Call Stack): Este método oculta o rastreamento da execução do código malicioso, enganando ferramentas de monitorização.
• Utilização de fibras do Windows: Este mecanismo permite alternar entre tarefas no mesmo processo de forma quase impercetível, eliminando a dependência do programador de tarefas padrão do Windows.

Com estas táticas, o CoffeeLoader consegue operar de forma furtiva, escapando aos radares de software antivírus e sistemas de segurança padrão.

O perigo nas primeiras páginas do Google

Talvez o mais alarmante sobre o CoffeeLoader seja a facilidade com que distribui o seu código. De acordo com as investigações, já foi identificado pelo menos um website fraudulento que oferece downloads de uma versão comprometida do Armoury Crate. Observou-se que este site aparece nas primeiras páginas dos motores de busca, o que aumenta significativamente o risco de um utilizador mais distraído ser enganado.

Como te proteger?

Para evitar seres vítima deste tipo de ataque, é essencial que descarregues aplicações apenas de fontes confiáveis, como os sites oficiais dos fabricantes. Além disso, mantém o teu sistema operativo e software de segurança sempre atualizados para protegeres o teu dispositivo contra as ameaças mais recentes.

O surgimento do CoffeeLoader é um alerta claro de que as ciberameaças estão a tornar-se cada vez mais criativas e difíceis de detetar. Garantir práticas seguras na tua interação online é, mais do que nunca, essencial.

Outros artigos interessantes:

• Bug no Google Assistant impacta o modo Não Perturbar e pode fazer-te perder alarmes
• Tesla Cybertruck enfrenta dificuldades: uma mudança para SUV seria a solução?
• Razer fecha histórica loja nos EUA após anos de baixa procura