MintsLoader-haittaohjelma
Kyberturvallisuustutkijat ovat paljastaneet aktiivisen kampanjan, jossa hyödynnetään MintsLoader-nimistä haittaohjelmien latausohjelmaa. Tätä PowerShell-pohjaista uhkaa on käytetty toissijaisten hyötykuormien jakamiseen, mukaan lukien StealC-tietovarasto ja laillinen avoimen lähdekoodin alusta nimeltä BOINC. Roskapostin kautta toimitettu MintsLoader käyttää linkkejä KongTuke- tai ClickFix-sivuille tai haitallisia JScript-tiedostoja päästäkseen pääsyn uhrien järjestelmiin. Tammikuun alussa 2025 havaittu kampanja on suunnattu ensisijaisesti kriittisille sektoreille, kuten sähkölle, öljylle ja kaasulle sekä lakipalveluihin Yhdysvalloissa ja Euroopassa.
Sisällysluettelo
Väärennetyt CAPTCHA-kehotteet: petollinen sisäänkäynti
Kampanja hyödyntää kasvavaa trendiä haitallisissa taktiikoissa, kuten väärennettyjen CAPTCHA-vahvistuskehotteiden väärinkäyttö. Nämä harhaanjohtavat sivut huijaavat käyttäjiä suorittamaan vaarantuneita PowerShell-komentosarjoja esiintymällä rutiininomaisina ihmisen vahvistuksina. Nämä KongTuke- ja ClickFix-tekniikoina tunnetut hyökkäykset manipuloivat pahaa-aavistamattomia käyttäjiä lisäämällä haitallisia komentosarjoja heidän kopioi/liitä puskureihinsa. Uhreja kehotetaan sitten liittämään ja suorittamaan komentosarja Windows Run -ikkunassa, jolloin hyökkääjien ensimmäinen tunkeutumisvaihe on valmis.
Kuinka KongTuke lisää vilpillisiä komentosarjoja
KongTuke luottaa komentosarjan lisäysmekanismiin, joka saa kohdistetut verkkosivustot näyttämään väärennettyjä "todista, että olet ihminen" -sivuja. Kun uhri on vuorovaikutuksessa näiden sivujen kanssa, pahantahtoinen PowerShell-skripti ladataan äänettömästi heidän leikepöydälleen. Sivulla on selkeät ohjeet skriptin liittämiseen ja suorittamiseen, mikä tekee hyökkäyksestä sekä yksinkertaisen että tehokkaan. Asiaan liittyvä kampanja, jossa levitetään BOINC:ia, osoittaa, kuinka laajalle levinnyt tämä petollinen tekniikka on tullut.
MintsLoaderin hienostunut infektioketju
MintsLoaderin hyökkäysketju alkaa vilpillisestä linkistä, joka toimitetaan roskapostiviestien kautta. Kun linkkiä napsautetaan, se lataa obfusoidun JavaScript-tiedoston. Tämä tiedosto käynnistää PowerShell-komennon, joka lataa MintsLoaderin curlilla, suorittaa sen ja poistaa itsensä järjestelmästä havaitsemisen välttämiseksi. Vaihtoehtoisissa hyökkäyspoluissa käyttäjät ohjataan ClickFix-tyylisille sivuille, joilla heitä kehotetaan jälleen suorittamaan komentosarjat Windowsin Suorita -kehotteessa.
Kun MintsLoader on otettu käyttöön, se ottaa yhteyttä Command-and-Control (C2) -palvelimeen ladatakseen lisää hyötykuormia. Nämä väliaikaiset PowerShell-komentosarjat suorittavat järjestelmätarkistuksia hiekkalaatikoiden ja muiden analyysityökalujen välttämiseksi. Lataaja sisältää myös Domain Generation Algorithm (DGA) -algoritmin, joka luo dynaamisesti C2-verkkotunnuksia lisäämällä kuukauden nykyisen päivän siemenarvoon.
StealC: Tehokas hyötykuorma alueellisilla poikkeuksilla
Hyökkäyskampanja huipentuu StealC :n käyttöönottoon. Se on tietovarastaja, jota on markkinoitu osana Malware-as-a-Service (MaaS) -ekosysteemiä vuoden 2023 alusta lähtien. Todennäköisesti Arkei Stealerin uudelleen suunniteltu muunnos, StealC tarjoaa edistyneitä ominaisuuksia. väistämistekniikoita. Yksi huomionarvoinen piirre on sen alueellinen kohdistuskyky – se välttää tartuttamasta Venäjällä, Ukrainassa, Valko-Venäjällä, Kazakstanissa ja Uzbekistanissa sijaitsevia järjestelmiä, mikä viittaa erityisiin motiiveihin tai rajoituksiin, jotka ohjaavat sen kehitystä.
Kasvavat uhat ja käyttäjien valppaus
MintsLoaderin ja siihen liittyvien kampanjoiden löytäminen korostaa kriittisille toimialoille kohdistettujen kyberhyökkäysten kehittyvän kehittynyttä. Hyökkääjät jatkavat menetelmiensä innovointia hyödyntämällä luottamusta väärennettyjen CAPTCHA-kehotteiden avulla ja hyödyntämällä monimutkaisia toimitusmekanismeja. Kun tällaiset uhat kehittyvät yhä enemmän, käyttäjien valppaus on edelleen tärkeä suojakeino näiden petollisten järjestelmien uhriksi joutumista vastaan.
