البرامج الضارة MintsLoader
كشف باحثو الأمن السيبراني عن حملة نشطة تستغل أداة تحميل البرامج الضارة المعروفة باسم MintsLoader. وقد تم استخدام هذا التهديد القائم على PowerShell لتوزيع الحمولات الثانوية، بما في ذلك أداة سرقة المعلومات StealC ومنصة مفتوحة المصدر شرعية تسمى BOINC. يتم تسليم MintsLoader عبر رسائل البريد الإلكتروني العشوائية، ويستخدم روابط إلى صفحات KongTuke أو ClickFix أو ملفات JScript ضارة للوصول إلى أنظمة الضحايا. استهدفت الحملة، التي تم اكتشافها في أوائل يناير 2025، في المقام الأول قطاعات حيوية مثل الكهرباء والنفط والغاز والخدمات القانونية في الولايات المتحدة وأوروبا.
جدول المحتويات
مطالبات CAPTCHA المزيفة: نقطة دخول خادعة
تستغل الحملة اتجاهًا متزايدًا في التكتيكات الضارة، مثل إساءة استخدام مطالبات التحقق المزيفة CAPTCHA. تخدع هذه الصفحات الخادعة المستخدمين لتنفيذ نصوص PowerShell المخترقة من خلال التظاهر بأنها عمليات تحقق روتينية من قبل البشر. تُعرف هذه الهجمات باسم تقنيات KongTuke وClickFix، وهي تتلاعب بالمستخدمين غير المنتبهين من خلال حقن نصوص ضارة في مخازن النسخ واللصق الخاصة بهم. ثم يتم توجيه الضحايا للصق وتنفيذ النص في نافذة التشغيل في Windows، لإكمال المرحلة الأولى من التسلل للمهاجمين.
كيف يقوم KongTuke بحقن البرامج النصية الاحتيالية
يعتمد KongTuke على آلية حقن البرامج النصية التي تجعل المواقع المستهدفة تعرض صفحات مزيفة للتحقق من أنك بشري. عندما يتفاعل الضحية مع هذه الصفحات، يتم تحميل برنامج PowerShell الخبيث بصمت في الحافظة الخاصة به. توفر الصفحة تعليمات صريحة حول كيفية لصق البرنامج النصي وتنفيذه، مما يجعل الهجوم بسيطًا وفعالًا. توضح حملة ذات صلة بتوزيع BOINC مدى انتشار هذه التقنية الخادعة.
سلسلة العدوى المتطورة في MintsLoader
تبدأ سلسلة هجمات MintsLoader برابط احتيالي يتم إرساله عبر رسائل البريد الإلكتروني العشوائية. عند النقر فوق الرابط، يقوم بتنزيل ملف JavaScript مشوش. يؤدي هذا الملف إلى تشغيل أمر PowerShell لتنزيل MintsLoader باستخدام curl وتنفيذه ومحو نفسه من النظام لتجنب الكشف. في مسارات الهجوم البديلة، يتم إعادة توجيه المستخدمين إلى صفحات على غرار ClickFix، حيث يُطلب منهم مرة أخرى تنفيذ البرامج النصية في موجه التشغيل في Windows.
بمجرد النشر، يتصل MintsLoader بخادم Command-and-Control (C2) لتنزيل المزيد من الحمولات. تقوم نصوص PowerShell المؤقتة هذه بإجراء فحوصات النظام للتهرب من صناديق الحماية وأدوات التحليل الأخرى. يشتمل المحمل أيضًا على خوارزمية إنشاء المجال (DGA)، والتي تنشئ أسماء المجالات C2 بشكل ديناميكي عن طريق إضافة اليوم الحالي من الشهر إلى قيمة البذرة.
StealC: حمولة قوية مع استثناءات إقليمية
بلغت حملة الهجوم ذروتها بنشر StealC ، وهو برنامج لسرقة المعلومات تم تسويقه كجزء من نظام Malware-as-a-Service (MaaS) منذ أوائل عام 2023. ومن المرجح أن يكون StealC نسخة أعيد تصميمها من Arkei Stealer ، ويتميز بتقنيات التهرب المتقدمة. ومن بين السمات البارزة قدراته على الاستهداف الإقليمي - فهو يتجنب إصابة الأنظمة الموجودة في روسيا وأوكرانيا وبيلاروسيا وكازاخستان وأوزبكستان، مما يشير إلى دوافع أو قيود محددة توجه تطويره.
التهديدات المتزايدة ويقظة المستخدم
إن اكتشاف MintsLoader والحملات المرتبطة به يؤكد على التطور المتنامي للهجمات الإلكترونية التي تستهدف الصناعات الحيوية. من خلال استغلال الثقة من خلال مطالبات CAPTCHA المزيفة والاستفادة من آليات التسليم المعقدة، يواصل المهاجمون ابتكار أساليبهم. ومع تزايد تقدم التهديدات مثل هذه، تظل يقظة المستخدم بمثابة دفاع حيوي ضد الوقوع ضحية لهذه المخططات الخادعة.
