MintsLoader Malware
Ερευνητές κυβερνοασφάλειας ανακάλυψαν μια ενεργή καμπάνια που αξιοποιεί έναν φορτωτή κακόβουλου λογισμικού γνωστό ως MintsLoader. Αυτή η απειλή που βασίζεται στο PowerShell έχει χρησιμοποιηθεί για τη διανομή δευτερευόντων ωφέλιμων φορτίων, συμπεριλαμβανομένου του συστήματος κλοπής πληροφοριών StealC και μιας νόμιμης πλατφόρμας ανοιχτού κώδικα που ονομάζεται BOINC. Παραδίδονται μέσω ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου, το MintsLoader χρησιμοποιεί συνδέσμους προς σελίδες KongTuke ή ClickFix ή κακόβουλα αρχεία JScript για να αποκτήσει πρόσβαση στα συστήματα των θυμάτων. Η εκστρατεία, που εντοπίστηκε στις αρχές Ιανουαρίου 2025, έχει στοχεύσει κυρίως κρίσιμους τομείς όπως η ηλεκτρική ενέργεια, το πετρέλαιο και το φυσικό αέριο και οι νομικές υπηρεσίες στις Ηνωμένες Πολιτείες και την Ευρώπη.
Πίνακας περιεχομένων
Ψεύτικες προτροπές CAPTCHA: Ένα παραπλανητικό σημείο εισόδου
Η καμπάνια εκμεταλλεύεται μια αυξανόμενη τάση σε επιβλαβείς τακτικές, όπως η κατάχρηση πλαστών μηνυμάτων επαλήθευσης CAPTCHA. Αυτές οι παραπλανητικές σελίδες ξεγελούν τους χρήστες να εκτελέσουν παραβιασμένα σενάρια PowerShell, παριστάνοντας τους συνήθεις ανθρώπινους ελέγχους επαλήθευσης. Γνωστές ως τεχνικές KongTuke και ClickFix, αυτές οι επιθέσεις χειραγωγούν ανυποψίαστους χρήστες εισάγοντας κακόβουλα σενάρια στα buffer αντιγραφής/επικόλλησης. Στη συνέχεια, δίνεται η οδηγία στα θύματα να επικολλήσουν και να εκτελέσουν το σενάριο στο παράθυρο Εκτέλεση των Windows, ολοκληρώνοντας το πρώτο στάδιο διείσδυσης των εισβολέων.
Πώς το KongTuke εισάγει δόλια σενάρια
Το KongTuke βασίζεται σε έναν μηχανισμό έγχυσης σεναρίου που προκαλεί στοχευμένους ιστότοπους να εμφανίζουν πλαστές σελίδες «επαληθεύστε ότι είστε ανθρώπινοι». Όταν ένα θύμα αλληλεπιδρά με αυτές τις σελίδες, ένα κακόβουλο σενάριο PowerShell φορτώνεται σιωπηλά στο πρόχειρό του. Η σελίδα παρέχει σαφείς οδηγίες σχετικά με τον τρόπο επικόλλησης και εκτέλεσης του σεναρίου, κάνοντας την επίθεση τόσο απλή όσο και αποτελεσματική. Μια σχετική καμπάνια που διανέμει το BOINC δείχνει πόσο διαδεδομένη έχει γίνει αυτή η παραπλανητική τεχνική.
MintsLoader's Sophisticated Infection Chain
Η αλυσίδα επιθέσεων του MintsLoader ξεκινά με έναν δόλιο σύνδεσμο που παραδίδεται μέσω spam email. Όταν κάνετε κλικ, ο σύνδεσμος πραγματοποιεί λήψη ενός ασαφούς αρχείου JavaScript. Αυτό το αρχείο ενεργοποιεί μια εντολή PowerShell για λήψη του MintsLoader χρησιμοποιώντας curl, εκτέλεση και διαγραφή από το σύστημα για να αποφευχθεί ο εντοπισμός. Σε εναλλακτικές διαδρομές επίθεσης, οι χρήστες ανακατευθύνονται σε σελίδες τύπου ClickFix, όπου τους ζητείται και πάλι να εκτελέσουν σενάρια στη γραμμή εντολών Εκτέλεση των Windows.
Μόλις αναπτυχθεί, το MintsLoader επικοινωνεί με έναν διακομιστή Command-and-Control (C2) για λήψη περαιτέρω ωφέλιμων φορτίων. Αυτά τα ενδιάμεσα σενάρια PowerShell εκτελούν ελέγχους συστήματος για να αποφύγουν τα sandbox και άλλα εργαλεία ανάλυσης. Το πρόγραμμα φόρτωσης ενσωματώνει επίσης έναν αλγόριθμο δημιουργίας τομέα (DGA), ο οποίος δημιουργεί δυναμικά ονόματα τομέα C2 προσθέτοντας την τρέχουσα ημέρα του μήνα σε μια τιμή εκκίνησης.
StealC: Ένα ισχυρό ωφέλιμο φορτίο με περιφερειακές εξαιρέσεις
Η εκστρατεία επίθεσης κορυφώνεται με την ανάπτυξη του StealC , ενός κλέφτη πληροφοριών που διατίθεται στο εμπόριο ως μέρος του οικοσυστήματος Malware-as-a-Service (MaaS) από τις αρχές του 2023. Πιθανώς μια ανασχεδιασμένη παραλλαγή του Arkei Stealer , το StealC μπορεί να υπερηφανεύεται για προηγμένο τεχνικές αποφυγής. Ένα αξιοσημείωτο χαρακτηριστικό είναι οι δυνατότητες περιφερειακής στόχευσης — αποφεύγει τη μόλυνση συστημάτων που βρίσκονται στη Ρωσία, την Ουκρανία, τη Λευκορωσία, το Καζακστάν και το Ουζμπεκιστάν, υποδεικνύοντας συγκεκριμένα κίνητρα ή περιορισμούς που καθοδηγούν την ανάπτυξή του.
Αυξανόμενες απειλές και επαγρύπνηση χρηστών
Η ανακάλυψη του MintsLoader και των σχετικών καμπανιών του υπογραμμίζει την εξελισσόμενη πολυπλοκότητα των κυβερνοεπιθέσεων που στοχεύουν κρίσιμες βιομηχανίες. Εκμεταλλευόμενοι την εμπιστοσύνη μέσω ψεύτικων προτροπών CAPTCHA και αξιοποιώντας περίπλοκους μηχανισμούς παράδοσης, οι εισβολείς συνεχίζουν να καινοτομούν τις μεθόδους τους. Καθώς οι απειλές όπως αυτές γίνονται όλο και πιο προχωρημένες, η επαγρύπνηση των χρηστών παραμένει μια ζωτική άμυνα ενάντια σε αυτά τα παραπλανητικά συστήματα.
