2024年9月以降に出現したマルウェア「CoffeeLoader」が、ASUSの公式ユーティリティ「Armoury Crate」に偽装して拡散していることが、Zscalerの研究者により明らかになった。特に注目すべきは、GPU上でのコード実行やコールスタック偽装、Windows Fibersの悪用など、複数の先進的な手法を組み合わせ、著名なウイルス対策ソフトの検知を巧妙に回避している点である。

感染後は、Rhadamanthys Infostealerなどの情報窃取ツールを投入し、ユーザーの機密情報を盗む。CoffeeLoaderは過去に観測された「SmokeLoader」との共通点も指摘されており、進化型の亜種と見られる。被害を防ぐには、ASUS製品の管理ソフトを非公式サイトではなく、必ず公式ルートから入手することが不可欠である。

ASUSを騙るCoffeeLoaderの手口と検出回避技術の実態

CoffeeLoaderは、ASUSのゲーミングデバイス向け公式ユーティリティ「Armoury Crate」に偽装することで信頼性を装い、ユーザーの警戒をかわして侵入する。Cybernewsの報告によれば、このマルウェアは2024年9月頃から活動が確認され、Zscalerの研究チームがその実体を解明した。

感染後は、Rhadamanthys Infostealerなどの窃取ツールを次々と導入し、対象のシステム内の機密情報を狙う構造となっている。

特筆すべきは、CoffeeLoaderが用いる複数の検出回避手法である。GPU上でのコード実行は、従来のCPU中心のセキュリティ監視をすり抜けることを可能にし、Call Stack Spoofingはマルウェアの痕跡そのものを無害なものに書き換える。

また、Sleep Obfuscationによって活動の兆候を抑え、Windows Fibersを利用した異常な経路での実行によって、さらに検出困難な状態を作り出す。これらの技術は、それぞれ単独でも脅威となるが、複合的に組み合わされることで、防御側の分析能力を大幅に削ぐ結果となっている。

広告経由の偽装配布と公式サイトの信頼性の重要性

CoffeeLoaderの拡散において、特に警戒すべきはユーザーの不注意を突く「ブランド偽装」である。今回の事例では、人気PCブランドASUSの名を用いたことで、ユーザーの信頼を逆手に取り、偽ソフトのダウンロードを誘導している。

検索エンジンの上位に表示される広告や、掲示板、フォーラムなどのリンクを経由して本物そっくりの偽サイトに誘導し、マルウェアを配布する手法は、過去にも多くの事例が存在しており、今回のケースでもそれが再現された形である。

このような攻撃に対して最も効果的な対策は、信頼できる公式サイトからの直接ダウンロードを徹底することに尽きる。たとえ検索結果の上位に表示されたとしても、それが正規の配布元である保証はない。

特に、CoffeeLoaderのような高度な偽装技術を用いる攻撃は、表面的な判断では見抜けない。今後も他の有名ユーティリティを模倣するケースが増えると見られ、ブランドへの信頼そのものが攻撃の起点となる以上、公式情報源の確認はサイバー衛生の基本となる。

Source:Tom’s Guide