MintsLoaderi pahavara
Küberturvalisuse teadlased on avastanud aktiivse kampaania, mis kasutab MintsLoaderina tuntud pahavara laadijat. Seda PowerShelli-põhist ohtu on kasutatud sekundaarsete kasulike koormuste levitamiseks, sealhulgas StealC teabevargus ja legitiimne avatud lähtekoodiga platvorm nimega BOINC. Rämpsposti teel edastatud MintsLoader kasutab linke KongTuke'i või ClickFixi lehtedele või pahatahtlikke JScript-faile, et pääseda ligi ohvrite süsteemidele. 2025. aasta jaanuari alguses avastatud kampaania on suunatud peamiselt sellistele kriitilistele sektoritele nagu elekter, nafta ja gaas ning õigusteenused Ameerika Ühendriikides ja Euroopas.
Sisukord
Võltsitud CAPTCHA-viibad: petlik sisenemispunkt
Kampaania kasutab kahjulike taktikate, näiteks võltsitud CAPTCHA kinnitusviipade kuritarvitamist, kasvavat suundumust. Need petlikud lehed meelitavad kasutajaid käivitama ohustatud PowerShelli skripte, näidates end tavaliste inimeste kinnituste kontrollidena. KongTuke'i ja ClickFixi tehnikatena tuntud rünnakud manipuleerivad pahaaimamatuid kasutajaid, süstides nende kopeerimis-/kleepimispuhvritesse pahatahtlikke skripte. Seejärel antakse ohvritele korraldus kleepida ja käivitada skript Windows Run aknas, mis viib ründajate esimese sissetungimise etapi lõpule.
Kuidas KongTuke sisestab petturlikke skripte
KongTuke tugineb skripti sisestamise mehhanismile, mis paneb sihitud veebisaidid kuvama võltsitud lehti, mis kinnitavad, et olete inimene. Kui ohver nende lehtedega suhtleb, laaditakse nende lõikelauale vaikselt pahatahtlik PowerShelli skript. Leht sisaldab selgeid juhiseid skripti kleepimiseks ja käivitamiseks, muutes rünnaku nii lihtsaks kui ka tõhusaks. Seotud kampaania, mis levitab BOINC-i, näitab, kui laialt levinud see petlik tehnika on muutunud.
MintsLoaderi keerukas nakkusahel
MintsLoaderi rünnakuahel algab petturliku lingiga, mis edastatakse rämpsposti kaudu. Klõpsamisel laadib link alla segatud JavaScripti faili. See fail käivitab PowerShelli käsu MintsLoaderi allalaadimiseks curl abil, käivitab selle ja kustutab end tuvastamise vältimiseks süsteemist. Alternatiivsete ründeteede puhul suunatakse kasutajad ClickFix-stiilis lehtedele, kus neil palutakse uuesti Windows Run viipa skripte käivitada.
Pärast juurutamist võtab MintsLoader ühendust Command-and-Control (C2) serveriga, et laadida alla täiendavaid kasulikke koormusi. Need ajutised PowerShelli skriptid teostavad süsteemikontrolle, et vältida liivakastide ja muude analüüsitööriistade kasutamist. Laadija sisaldab ka domeeni genereerimise algoritmi (DGA), mis loob dünaamiliselt C2 domeeninimesid, lisades algväärtusele kuu praeguse päeva.
StealC: võimas kandevõime piirkondlike välistustega
Rünnakukampaania kulmineerub StealC – teabevarastaja – kasutuselevõtuga, mida on turundatud osana õelvara-as-a-Service (MaaS) ökosüsteemist alates 2023. aasta algusest. Tõenäoliselt on Arkei Stealeri ümberprojekteeritud variant, StealC on täiustatud. kõrvalehoidmise tehnikad. Üks tähelepanuväärne omadus on selle piirkondliku sihtimise võimalused – see väldib Venemaal, Ukrainas, Valgevenes, Kasahstanis ja Usbekistanis asuvate süsteemide nakatamist, vihjates konkreetsetele motiividele või piirangutele, mis selle arengut suunavad.
Kasvavad ohud ja kasutajate valvsus
MintsLoaderi ja sellega seotud kampaaniate avastamine rõhutab kriitilistele tööstusharudele suunatud küberrünnakute arenevat keerukust. Kasutades ära usaldust võltsitud CAPTCHA-viipade kaudu ja võimendades keerulisi edastamismehhanisme, jätkavad ründajad oma meetodite uuendamist. Sedamööda, kuidas sellised ohud arenevad, on kasutajate valvsus endiselt oluline kaitse nende petlike skeemide ohvriks langemise vastu.
