MintsLoader Malware
Изследователите на киберсигурността са разкрили активна кампания, използваща зареждащ зловреден софтуер, известен като MintsLoader. Тази заплаха, базирана на PowerShell, е използвана за разпространение на вторични полезни товари, включително крадец на информация StealC и легитимна платформа с отворен код, наречена BOINC. Доставен чрез спам имейли, MintsLoader използва връзки към страници на KongTuke или ClickFix или злонамерени JScript файлове, за да получи достъп до системите на жертвите. Кампанията, открита в началото на януари 2025 г., е насочена основно към критични сектори като електроенергия, нефт и газ и правни услуги в Съединените щати и Европа.
Съдържание
Фалшиви CAPTCHA подкани: Измамна входна точка
Кампанията използва нарастваща тенденция във вредни тактики, като злоупотреба с фалшиви подкани за проверка на CAPTCHA. Тези измамни страници подмамват потребителите да изпълнят компрометирани скриптове на PowerShell, като се представят за рутинни човешки проверки за проверка. Известни като техники на KongTuke и ClickFix, тези атаки манипулират нищо неподозиращите потребители чрез инжектиране на злонамерени скриптове в техните буфери за копиране/поставяне. След това жертвите се инструктират да поставят и изпълнят скрипта в прозореца за изпълнение на Windows, завършвайки първия етап на проникване на нападателите.
Как KongTuke инжектира измамни скриптове
KongTuke разчита на механизъм за инжектиране на скрипт, който кара целевите уебсайтове да показват фалшиви страници за „потвърдете, че сте човек“. Когато жертва взаимодейства с тези страници, злонамерен PowerShell скрипт се зарежда безшумно в нейния клипборд. Страницата предоставя изрични инструкции как да поставите и изпълните скрипта, което прави атаката както проста, така и ефективна. Свързана кампания за разпространение на BOINC демонстрира колко широко разпространена е станала тази измамна техника.
Усъвършенстваната верига за заразяване на MintsLoader
Веригата на атака на MintsLoader започва с измамна връзка, доставена чрез спам имейли. При щракване върху връзката се изтегля скрит JavaScript файл. Този файл задейства команда на PowerShell, за да изтегли MintsLoader с помощта на curl, да го изпълни и да се изтрие от системата, за да избегне откриването. При алтернативни пътища за атака потребителите се пренасочват към страници в стил ClickFix, където отново се подканват да изпълнят скриптове в прозореца за изпълнение на Windows.
Веднъж разгърнат, MintsLoader се свързва с Command-and-Control (C2) сървър, за да изтегли допълнителни полезни товари. Тези междинни скриптове на PowerShell извършват системни проверки, за да избегнат пясъчници и други инструменти за анализ. Товарачът също така включва алгоритъм за генериране на домейн (DGA), който динамично създава C2 имена на домейни чрез добавяне на текущия ден от месеца към начална стойност.
StealC: Мощен полезен товар с регионални изключения
Кампанията за атака завършва с внедряването на StealC , крадец на информация, който се предлага на пазара като част от екосистемата Malware-as-a-Service (MaaS) от началото на 2023 г. Вероятно преработен вариант на Arkei Stealer , StealC може да се похвали с напреднали техники за укриване. Една забележителна характеристика е възможностите му за регионално насочване – той избягва заразяването на системи, разположени в Русия, Украйна, Беларус, Казахстан и Узбекистан, което предполага конкретни мотиви или ограничения, ръководещи неговото развитие.
Нарастващите заплахи и бдителността на потребителите
Откриването на MintsLoader и свързаните с него кампании подчертава развиващата се сложност на кибератаките, насочени към критични индустрии. Използвайки доверието чрез фалшиви CAPTCHA подкани и използвайки сложни механизми за доставка, нападателите продължават да обновяват своите методи. Тъй като заплахи като тези стават все по-напреднали, бдителността на потребителите остава жизненоважна защита срещу това да станат жертва на тези измамни схеми.
