MintsLoader Malware
Cybersikkerhedsforskere har afsløret en aktiv kampagne, der udnytter en malware-loader kendt som MintsLoader. Denne PowerShell-baserede trussel er blevet brugt til at distribuere sekundære nyttelaster, inklusive StealC informationstyveren og en legitim open source platform kaldet BOINC. MintsLoader, der leveres via spam-e-mails, bruger links til KongTuke- eller ClickFix-sider eller ondsindede JScript-filer for at få adgang til ofrenes systemer. Kampagnen, der blev opdaget i begyndelsen af januar 2025, har primært rettet sig mod kritiske sektorer som elektricitet, olie og gas og juridiske tjenester i USA og Europa.
Indholdsfortegnelse
Falske CAPTCHA-prompter: Et vildledende indgangspunkt
Kampagnen udnytter en voksende tendens inden for skadelige taktikker, såsom misbrug af falske CAPTCHA-bekræftelser. Disse vildledende sider narre brugere til at udføre kompromitterede PowerShell-scripts ved at udgive sig for rutinemæssige menneskelige verifikationstjek. Kendt som KongTuke- og ClickFix-teknikker, manipulerer disse angreb intetanende brugere ved at injicere ondsindede scripts i deres kopi/indsæt-buffere. Ofre bliver derefter instrueret i at indsætte og udføre scriptet i Windows Run-vinduet, hvilket fuldender angribernes første infiltrationstrin.
Hvordan KongTuke injicerer svigagtige scripts
KongTuke er afhængig af en script-injection-mekanisme, der får målrettede websteder til at vise falske 'bekræft, at du er et menneske'-sider. Når et offer interagerer med disse sider, indlæses et ondsindet PowerShell-script lydløst i deres udklipsholder. Siden giver eksplicitte instruktioner om, hvordan man indsætter og udfører scriptet, hvilket gør angrebet både enkelt og effektivt. En relateret kampagne, der distribuerer BOINC, viser, hvor udbredt denne vildledende teknik er blevet.
MintsLoaders sofistikerede infektionskæde
MintsLoaders angrebskæde begynder med et svigagtigt link leveret via spam-e-mails. Når der klikkes på det, downloader linket en skjult JavaScript-fil. Denne fil udløser en PowerShell-kommando for at downloade MintsLoader ved hjælp af curl, udføre den og slette sig selv fra systemet for at undgå registrering. I alternative angrebsstier omdirigeres brugerne til ClickFix-stil-sider, hvor de igen bliver bedt om at udføre scripts i Windows Run-prompten.
Når den er installeret, kontakter MintsLoader en Command-and-Control-server (C2) for at downloade yderligere nyttelast. Disse midlertidige PowerShell-scripts udfører systemtjek for at undgå sandkasser og andre analyseværktøjer. Indlæseren inkorporerer også en Domain Generation Algorithm (DGA), som dynamisk opretter C2-domænenavne ved at tilføje den aktuelle dag i måneden til en startværdi.
StealC: En kraftfuld nyttelast med regionale udelukkelser
Angrebskampagnen kulminerer i udrulningen af StealC , en informationstyver, der har været markedsført som en del af Malware-as-a-Service (MaaS) økosystemet siden begyndelsen af 2023. StealC er sandsynligvis en nyudviklet variant af Arkei Stealer , og kan prale af avanceret unddragelsesteknikker. Et bemærkelsesværdigt træk er dets regionale målretningskapaciteter - det undgår at inficere systemer i Rusland, Ukraine, Hviderusland, Kasakhstan og Usbekistan, hvilket antyder specifikke motiver eller begrænsninger, der styrer dets udvikling.
Stigende trusler og brugerbevågenhed
Opdagelsen af MintsLoader og dets tilknyttede kampagner understreger den udviklende sofistikering af cyberangreb rettet mod kritiske industrier. Ved at udnytte tillid gennem falske CAPTCHA-prompter og udnytte komplicerede leveringsmekanismer fortsætter angriberne med at innovere deres metoder. Efterhånden som trusler som disse bliver mere avancerede, er brugernes årvågenhed fortsat et vigtigt forsvar mod at blive ofre for disse vildledende planer.
