Game thủ hãy cẩn thận! Phần mềm độc hại mới này ẩn trong GPU của bạn

Tác giả tanthanh 26/01/2026 6 phút đọc

Có một gia đình phần mềm độc hại mới mà Lừa mạo danh phần mềm Armory Crate của Asus và lây nhiễm cho PC bằng mã độc.

Phần mềm độc hại được gọi là CoffeeLoader nghe có vẻ giống như một thiết bị nhà bếp tương lai tự động rót cho bạn một ít bia buổi sáng, nhưng mục đích của nó bất chính hơn nhiều. Khi nó đã lây nhiễm PC của bạn, nó sẽ kết nối với máy chủ để tải xuống phần mềm độc hại bổ sung dưới dạng trình xác thực thông tin, sau đó đánh cắp thông tin và thông tin xác thực của bạn.

Armory Crate là ứng dụng chơi game độc quyền của Asus dành cho dòng PC chơi game của công ty. Nó cho phép người dùng kiểm soát các khía cạnh quan trọng của hiệu suất chơi game của họ, bao gồm chế độ hoạt động của PC, tốc độ của người hâm mộ và hơn thế nữa. Các game thủ sử dụng máy tính để bàn và máy tính xách tay chơi game của Asus có nguy cơ bị nhiễm trùng, vì đây là những điều mà hầu hết các game thủ sẽ muốn làm.

Điều khiến CoffeeLoader trở nên ghê tởm là việc lây nhiễm vào PC của game thủ được mã hóa tốt như thế nào. Nó không chỉ bắt chước phần mềm của Asus mà còn sử dụng một trình đóng gói có tên “Armory” để tải một phần mã của nó lên GPU (hoặc card đồ họa) của nạn nhân. Vì tất cả người dùng có PC chơi game Asus đều có GPU, họ dễ bị tổn thương bởi kỹ thuật này. Và thực tế là nó nhắm mục tiêu GPU của người dùng thay vì CPU của họ cũng là một cách lén lút để phần mềm độc hại trốn tránh sự phát hiện, vì hầu hết các máy quét vi-rút thường không quét GPU.

Ứng dụng Asus Armory Crate — Phần mềm độc hại CoffeeLoader bắt chước ứng dụng Armory Crate của Asus.

Phần mềm độc hại CoffeeLoader cũng sử dụng các kỹ thuật khác để tránh bị phần mềm chống vi-rút phát hiện. Một được gọi là Sleep Obfuscation, theo đó nó tự khóa trong bộ nhớ hệ thống trong một tệp không hoạt động, được mã hóa không thể đọc được. Phần mềm độc hại cũng sử dụng các con đường bất thường để không bị chú ý, chẳng hạn như các sợi Windows (được PC của người dùng sử dụng khi chúng đa nhiệm).

Ngoài ra, CoffeeLoader có thể thực hiện Call Stack Spoofing để xóa bỏ dấu vết của chính nó. Thông thường, khi các chương trình chạy, chúng sẽ để lại dấu vết mã như dấu chân trên tuyết. Nhưng CoffeeLoader có thể thay đổi mã mà nó để lại vừa đủ để trông giống như một chương trình lành tính, do đó đánh lừa các chương trình chống vi-rút đang tìm kiếm dấu vết của mã độc.

Zscaler, công ty an ninh mạng đã phát hiện ra phần mềm độc hại, đã xác định CoffeeLoader có từ tháng 9 năm 2024. Với việc nó có những điểm tương đồng về mặt kỹ thuật với một phần mềm độc hại khác có tên SmokeLoader, họ phỏng đoán rằng điều này có thể chỉ ra CoffeeLoader là một biến thể mới của phần mềm độc hại đó. Nhưng còn quá sớm để nói chắc chắn.

Ngay bây giờ, cách tốt nhất để tránh lây nhiễm với CoffeeLoader là đảm bảo bạn tải xuống phần mềm Armory Crate của Asus trực tiếp từ trang web của công ty hơn là bất kỳ trang web của bên thứ ba.