Malware MintsLoader
Výzkumníci v oblasti kybernetické bezpečnosti odhalili aktivní kampaň využívající zavaděč malwaru známý jako MintsLoader. Tato hrozba založená na PowerShellu byla využita k distribuci sekundárních užitečných zátěží, včetně krádeže informací StealC a legitimní open-source platformy zvané BOINC. MintsLoader, který je doručován prostřednictvím nevyžádaných e-mailů, využívá odkazy na stránky KongTuke nebo ClickFix nebo škodlivé soubory JScript k získání přístupu do systémů obětí. Kampaň, zjištěná na začátku ledna 2025, se primárně zaměřovala na kritická odvětví, jako je elektřina, ropa a plyn, a právní služby ve Spojených státech a Evropě.
Obsah
Falešné výzvy CAPTCHA: Podvodný vstupní bod
Kampaň využívá rostoucí trend škodlivých taktik, jako je zneužívání falešných ověřovacích výzev CAPTCHA. Tyto klamavé stránky přimějí uživatele ke spouštění kompromitovaných skriptů PowerShellu tím, že se vydávají za rutinní lidské ověřovací kontroly. Tyto útoky, známé jako techniky KongTuke a ClickFix, manipulují s nic netušícími uživateli tím, že do jejich vyrovnávacích pamětí pro kopírování a vkládání vkládají škodlivé skripty. Oběti jsou poté instruovány, aby vložily a provedly skript v okně Spustit Windows, čímž dokončí první fázi infiltrace útočníků.
Jak KongTuke vkládá podvodné skripty
KongTuke spoléhá na mechanismus vkládání skriptů, který způsobuje, že cílené webové stránky zobrazují padělané stránky „ověřte, že jste člověk“. Když oběť interaguje s těmito stránkami, do její schránky se tiše načte škodlivý skript PowerShellu. Stránka poskytuje explicitní pokyny, jak vložit a spustit skript, takže útok je jednoduchý a účinný. Související kampaň distribuující BOINC ukazuje, jak rozšířená se tato podvodná technika stala.
Sofistikovaný infekční řetězec MintsLoader
Útokový řetězec MintsLoader začíná podvodným odkazem doručeným prostřednictvím nevyžádaných e-mailů. Po kliknutí na odkaz se stáhne obfuskovaný soubor JavaScript. Tento soubor spustí příkaz PowerShell ke stažení MintsLoader pomocí curl, jeho spuštění a vymazání ze systému, aby se zabránilo detekci. V alternativních cestách útoku jsou uživatelé přesměrováni na stránky ve stylu ClickFix, kde jsou znovu vyzváni ke spuštění skriptů ve výzvě Windows Run.
Po nasazení se MintsLoader spojí se serverem Command-and-Control (C2), aby stáhl další užitečné zatížení. Tyto dočasné skripty PowerShellu provádějí systémové kontroly, aby se vyhnuly sandboxům a dalším analytickým nástrojům. Zavaděč také obsahuje algoritmus generování domén (DGA), který dynamicky vytváří názvy domén C2 přidáním aktuálního dne v měsíci k hodnotě seedu.
StealC: Výkonné užitečné zatížení s regionálními výjimkami
Útočná kampaň vrcholí nasazením StealC , informačního zloděje, který je uváděn na trh jako součást ekosystému Malware-as-a-Service (MaaS) od počátku roku 2023. Pravděpodobně přepracovaná varianta Arkei Stealer , StealC se může pochlubit pokročilým únikové techniky. Jedním z pozoruhodných rysů je jeho schopnost regionálního zacílení – vyhýbá se infikování systémů umístěných v Rusku, na Ukrajině, v Bělorusku, Kazachstánu a Uzbekistánu, což naznačuje konkrétní motivy nebo omezení, kterými se řídí jeho vývoj.
Rostoucí hrozby a ostražitost uživatelů
Objev MintsLoader a souvisejících kampaní podtrhuje vyvíjející se sofistikovanost kybernetických útoků zaměřených na kritická odvětví. Využíváním důvěry prostřednictvím falešných výzev CAPTCHA a využíváním složitých doručovacích mechanismů útočníci nadále inovují své metody. Vzhledem k tomu, že hrozby, jako jsou tyto, jsou stále pokročilejší, ostražitost uživatelů zůstává zásadní obranou proti tomu, aby se stali obětí těchto podvodných schémat.
