بدافزار MintsLoader

محققان امنیت سایبری یک کمپین فعال را کشف کرده اند که از یک بارگذار بدافزار معروف به MintsLoader استفاده می کند. این تهدید مبتنی بر PowerShell برای توزیع بارهای ثانویه، از جمله دزد اطلاعات StealC و یک پلت فرم منبع باز قانونی به نام BOINC استفاده شده است. MintsLoader که از طریق ایمیل‌های هرزنامه ارسال می‌شود، از پیوندهایی به صفحات KongTuke یا ClickFix یا فایل‌های مخرب JScript برای دسترسی به سیستم‌های قربانیان استفاده می‌کند. این کمپین که در اوایل ژانویه 2025 شناسایی شد، عمدتاً بخش‌های مهمی مانند برق، نفت و گاز و خدمات حقوقی در ایالات متحده و اروپا را هدف قرار داده است.

درخواست‌های CAPTCHA جعلی: یک نقطه ورود فریبنده

این کمپین از روند رو به رشدی در تاکتیک‌های مضر، مانند سوء استفاده از درخواست‌های جعلی تأیید CAPTCHA، بهره‌برداری می‌کند. این صفحات فریبنده کاربران را فریب می دهند تا اسکریپت های پاورشل در معرض خطر را اجرا کنند و آنها را به عنوان بررسی های روتین تأیید انسانی نشان می دهند. این حملات که به عنوان تکنیک‌های KongTuke و ClickFix شناخته می‌شوند، با تزریق اسکریپت‌های مخرب به بافرهای کپی/پیست، کاربران ناآگاه را دستکاری می‌کنند. سپس به قربانیان دستور داده می‌شود که اسکریپت را در پنجره اجرای ویندوز قرار داده و اجرا کنند و اولین مرحله نفوذ مهاجمان را تکمیل کنند.

چگونه KongTuke اسکریپت های تقلبی را تزریق می کند

KongTuke متکی بر مکانیزم تزریق اسکریپت است که باعث می‌شود وب‌سایت‌های هدفمند صفحات تقلبی «تأیید اینکه شما انسان هستید» را نمایش دهند. هنگامی که قربانی با این صفحات تعامل می کند، یک اسکریپت بدخواه PowerShell بی صدا در کلیپ بورد آنها بارگذاری می شود. این صفحه دستورالعمل‌های صریح در مورد نحوه چسباندن و اجرای اسکریپت ارائه می‌دهد که حمله را ساده و موثر می‌سازد. یک کمپین مرتبط با توزیع BOINC نشان می‌دهد که این تکنیک فریبنده چقدر گسترده شده است.

زنجیره عفونت پیچیده MintsLoader

زنجیره حمله MintsLoader با یک پیوند تقلبی که از طریق ایمیل های اسپم تحویل داده می شود آغاز می شود. پس از کلیک کردن، پیوند یک فایل جاوا اسکریپت مبهم را دانلود می کند. این فایل یک فرمان PowerShell را برای دانلود MintsLoader با استفاده از curl اجرا می کند، آن را اجرا می کند و برای جلوگیری از شناسایی، خود را از سیستم پاک می کند. در مسیرهای حمله جایگزین، کاربران به صفحاتی به سبک ClickFix هدایت می شوند، جایی که دوباره از آنها خواسته می شود تا اسکریپت ها را در اعلان اجرای ویندوز اجرا کنند.

پس از استقرار، MintsLoader با یک سرور Command-and-Control (C2) تماس می گیرد تا بارهای بیشتری را دانلود کند. این اسکریپت‌های موقت PowerShell برای فرار از جعبه‌های شنی و سایر ابزارهای تجزیه و تحلیل سیستم را بررسی می‌کنند. لودر همچنین دارای یک الگوریتم تولید دامنه (DGA) است که به صورت پویا نام دامنه های C2 را با افزودن روز جاری ماه به مقدار اولیه ایجاد می کند.

StealC: یک محموله قدرتمند با استثناهای منطقه ای

کمپین حمله با استقرار StealC ، یک دزد اطلاعات که از اوایل سال 2023 به عنوان بخشی از اکوسیستم بدافزار به عنوان سرویس (MaaS) به بازار عرضه شده است، به اوج خود می رسد. احتمالاً یک نوع مهندسی مجدد از Arkei Stealer ، StealC به پیشرفته می بالد. تکنیک های فرار یکی از ویژگی‌های قابل توجه قابلیت‌های هدف‌گیری منطقه‌ای آن است - از آلوده کردن سیستم‌های مستقر در روسیه، اوکراین، بلاروس، قزاقستان و ازبکستان جلوگیری می‌کند و انگیزه‌ها یا محدودیت‌های خاصی را برای توسعه آن نشان می‌دهد.

افزایش تهدیدها و هوشیاری کاربر

کشف MintsLoader و کمپین های مرتبط با آن بر پیچیدگی در حال تکامل حملات سایبری که صنایع مهم را هدف قرار می دهند، تأکید می کند. مهاجمان با بهره‌برداری از اعتماد از طریق درخواست‌های جعلی CAPTCHA و استفاده از مکانیزم‌های تحویل پیچیده، به نوآوری روش‌های خود ادامه می‌دهند. با پیشرفت بیشتر تهدیداتی مانند این، هوشیاری کاربر یک دفاع حیاتی در برابر قربانی شدن این طرح‌های فریبنده باقی می‌ماند.