网络安全领域近日发现一款名为“咖啡装载者”(CoffeeLoader)的新型恶意程序。该软件通过仿冒华硕(Asus)为游戏电脑开发的Armoury Crate控制程序实施攻击,主要针对游戏玩家群体。感染后,该程序会秘密连接远程服务器,下载信息窃取类病毒以盗取用户隐私数据与账号密码。
针对游戏硬件的精密攻击
Armoury Crate作为华硕游戏设备的专用控制软件,承担着调节系统性能模式、风扇转速等关键功能。恶意程序开发者利用这一高频使用场景,在代码中植入名为“Armoury”的特殊封装器,将部分恶意代码加载到用户显卡(GPU)中运行。这种设计具备两大优势:
所有华硕游戏设备用户均配备独立显卡,攻击覆盖面极广
传统杀毒软件通常不会扫描显卡运行状态,显著降低被检测概率
三重隐匿技术突破防线
该恶意程序采用多种反侦察手段提升生存能力:
“睡眠混淆”技术:将加密后的恶意代码隐藏在系统内存的休眠文件中
“纤程伪装”机制:借助Windows系统的多任务处理功能掩盖运行轨迹
“调用栈清除”功能:实时修改内存中的代码残留特征,模拟正常程序行为
技术溯源与防范建议
网络安全公司Zscaler的研究显示,“咖啡装载者”最早活动记录可追溯至2024年9月。其技术特征与已知的“烟雾装载者”(SmokeLoader)存在相似性,但尚未确认二者是否存在衍生关系。
当前最关键的防护措施是:仅通过华硕官方网站下载Armoury Crate程序,彻底规避第三方渠道的软件污染风险。游戏玩家需特别注意系统安全提示,避免因追求极致性能而关闭防护软件。
