תוכנה זדונית של MintsLoader
חוקרי אבטחת סייבר חשפו מסע פרסום פעיל הממנף מטעין תוכנות זדוניות המכונה MintsLoader. האיום מבוסס PowerShell זה נוצל להפצת מטענים משניים, כולל גנב המידע StealC ופלטפורמת קוד פתוח לגיטימית בשם BOINC. MintsLoader, שנמסר באמצעות דואר זבל, משתמש בקישורים לדפי KongTuke או ClickFix או לקובצי JScript זדוניים כדי לקבל גישה למערכות של הקורבנות. הקמפיין, שזוהה בתחילת ינואר 2025, פנה בעיקר למגזרים קריטיים כמו חשמל, נפט וגז ושירותים משפטיים בארצות הברית ובאירופה.
תוכן העניינים
הנחיות CAPTCHA מזויפות: נקודת כניסה מטעה
הקמפיין מנצל מגמה גוברת של טקטיקות מזיקות, כמו ניצול לרעה של הנחיות אימות CAPTCHA מזויפות. הדפים המטעים האלה מרמים משתמשים לבצע סקריפטים של PowerShell שנפגעו על ידי התחזות לבדיקות אימות אנושיות שגרתיות. התקפות אלו, הידועות כשיטות KongTuke ו- ClickFix, מבצעות מניפולציות על משתמשים תמימים על ידי הזרקת סקריפטים זדוניים למאגרי ההעתקה/הדבקים שלהם. לאחר מכן הקורבנות מקבלים הוראה להדביק ולהפעיל את הסקריפט בחלון ההפעלה של Windows, להשלים את שלב החדירה הראשון של התוקפים.
כיצד KongTuke מחדיר סקריפטים הונאה
KongTuke מסתמך על מנגנון הזרקת סקריפט שגורם לאתרים ממוקדים להציג דפים מזויפים של 'אמת שאתה אנושי'. כאשר קורבן מקיים אינטראקציה עם הדפים הללו, סקריפט PowerShell זדוני נטען בשקט אל הלוח שלו. הדף מספק הנחיות מפורשות כיצד להדביק ולהפעיל את הסקריפט, מה שהופך את ההתקפה לפשוטה ויעילה כאחד. מסע פרסום קשור המפיץ את BOINC מדגים עד כמה הטכניקה המתעתעת הזו נפוצה.
שרשרת ההדבקה המתוחכמת של MintsLoader
שרשרת ההתקפה של MintsLoader מתחילה בקישור הונאה המועבר באמצעות הודעות דואר זבל. כאשר לוחצים עליו, הקישור מוריד קובץ JavaScript מעורפל. קובץ זה מפעיל פקודת PowerShell כדי להוריד את MintsLoader באמצעות curl, להפעיל אותו ולמחוק את עצמו מהמערכת כדי למנוע זיהוי. בנתיבי התקפה חלופיים, משתמשים מופנים לדפים בסגנון ClickFix, שם הם מתבקשים שוב לבצע סקריפטים בהנחיית Windows Run.
לאחר הפריסה, MintsLoader יוצר קשר עם שרת Command-and-Control (C2) כדי להוריד מטענים נוספים. סקריפטים זמניים של PowerShell מבצעים בדיקות מערכת כדי להתחמק מארגזי חול וכלי ניתוח אחרים. הטוען משלב גם אלגוריתם יצירת דומיין (DGA), אשר יוצר באופן דינמי שמות מתחם C2 על ידי הוספת היום הנוכחי בחודש לערך ראשוני.
StealC: מטען רב עוצמה עם אי הכללות אזוריות
מסע התקיפה מגיע לשיאו בפריסה של StealC , גנב מידע ששווק כחלק מהאקולוגית של Malware-as-a-Service (MaaS) מאז תחילת 2023. ככל הנראה גרסה מהונדסת מחדש של Arkei Stealer , StealC מתהדרת מתקדמת טכניקות התחמקות. מאפיין בולט אחד הוא יכולות המיקוד האזורי שלו - הוא נמנע מהדבקת מערכות הממוקמות ברוסיה, אוקראינה, בלארוס, קזחסטן ואוזבקיסטן, מה שמציע מניעים או אילוצים ספציפיים המנחים את הפיתוח שלה.
איומים עולים וערנות משתמשים
הגילוי של MintsLoader והקמפיינים הנלווים אליו מדגיש את התחכום המתפתח של התקפות סייבר המכוונות לתעשיות קריטיות. על ידי ניצול אמון באמצעות הנחיות CAPTCHA מזויפות ומינוף מנגנוני מסירה מורכבים, התוקפים ממשיכים לחדש את השיטות שלהם. ככל שאיומים כמו אלה הולכים ומתקדמים, ערנות המשתמשים נותרה הגנה חיונית מפני נפילת קורבן לתוכניות ההטעיה הללו.
