MintsLoader Malware
साइबर सुरक्षा शोधकर्ताओं ने मिंट्सलोडर नामक मैलवेयर लोडर का लाभ उठाने वाले एक सक्रिय अभियान का पता लगाया है। इस पावरशेल-आधारित खतरे का उपयोग सेकेंडरी पेलोड वितरित करने के लिए किया गया है, जिसमें स्टीलसी सूचना चोर और BOINC नामक एक वैध ओपन-सोर्स प्लेटफ़ॉर्म शामिल है। स्पैम ईमेल के माध्यम से वितरित, मिंट्सलोडर पीड़ितों के सिस्टम तक पहुँच प्राप्त करने के लिए कोंगट्यूक या क्लिकफ़िक्स पृष्ठों या दुर्भावनापूर्ण JScript फ़ाइलों के लिंक का उपयोग करता है। जनवरी 2025 की शुरुआत में पता चला यह अभियान मुख्य रूप से संयुक्त राज्य अमेरिका और यूरोप में बिजली, तेल और गैस, और कानूनी सेवाओं जैसे महत्वपूर्ण क्षेत्रों को लक्षित करता है।
विषयसूची
नकली कैप्चा संकेत: एक भ्रामक प्रवेश बिंदु
यह अभियान हानिकारक युक्तियों में बढ़ती प्रवृत्ति का फायदा उठाता है, जैसे कि नकली CAPTCHA सत्यापन संकेतों का दुरुपयोग करना। ये भ्रामक पृष्ठ उपयोगकर्ताओं को नियमित मानव सत्यापन जाँच के रूप में प्रस्तुत करके समझौता किए गए PowerShell स्क्रिप्ट को निष्पादित करने के लिए प्रेरित करते हैं। KongTuke और ClickFix तकनीकों के रूप में जाने जाने वाले ये हमले, उनके कॉपी/पेस्ट बफ़र्स में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करके अनजान उपयोगकर्ताओं को हेरफेर करते हैं। फिर पीड़ितों को विंडोज रन विंडो में स्क्रिप्ट को पेस्ट करने और निष्पादित करने का निर्देश दिया जाता है, जिससे हमलावरों की घुसपैठ का पहला चरण पूरा हो जाता है।
कोंगट्यूक कैसे धोखाधड़ी वाली स्क्रिप्ट इंजेक्ट करता है
कोंगट्यूक एक स्क्रिप्ट इंजेक्शन तंत्र पर निर्भर करता है जो लक्षित वेबसाइटों को नकली 'सत्यापन करें कि आप मानव हैं' पृष्ठ प्रदर्शित करने का कारण बनता है। जब कोई पीड़ित इन पृष्ठों के साथ बातचीत करता है, तो एक दुर्भावनापूर्ण PowerShell स्क्रिप्ट चुपचाप उनके क्लिपबोर्ड में लोड हो जाती है। पृष्ठ स्क्रिप्ट को चिपकाने और निष्पादित करने के तरीके के बारे में स्पष्ट निर्देश प्रदान करता है, जिससे हमला सरल और प्रभावी दोनों हो जाता है। BOINC वितरित करने वाला एक संबंधित अभियान दर्शाता है कि यह भ्रामक तकनीक कितनी व्यापक हो गई है।
मिंट्सलोडर की परिष्कृत संक्रमण श्रृंखला
मिंट्सलोडर की अटैक चेन स्पैम ईमेल के ज़रिए डिलीवर किए गए एक धोखाधड़ी वाले लिंक से शुरू होती है। जब क्लिक किया जाता है, तो लिंक एक अस्पष्ट जावास्क्रिप्ट फ़ाइल डाउनलोड करता है। यह फ़ाइल कर्ल का उपयोग करके मिंट्सलोडर को डाउनलोड करने, इसे निष्पादित करने और पता लगाने से बचने के लिए सिस्टम से खुद को मिटाने के लिए एक PowerShell कमांड को ट्रिगर करती है। वैकल्पिक हमले के रास्तों में, उपयोगकर्ताओं को ClickFix-शैली के पृष्ठों पर पुनर्निर्देशित किया जाता है, जहाँ उन्हें फिर से Windows Run प्रॉम्प्ट में स्क्रिप्ट निष्पादित करने के लिए कहा जाता है।
एक बार तैनात होने के बाद, MintsLoader आगे के पेलोड को डाउनलोड करने के लिए कमांड-एंड-कंट्रोल (C2) सर्वर से संपर्क करता है। ये अंतरिम PowerShell स्क्रिप्ट सैंडबॉक्स और अन्य विश्लेषण उपकरणों से बचने के लिए सिस्टम जांच करती हैं। लोडर में एक डोमेन जनरेशन एल्गोरिदम (DGA) भी शामिल है, जो महीने के वर्तमान दिन को बीज मान में जोड़कर गतिशील रूप से C2 डोमेन नाम बनाता है।
स्टीलसी: क्षेत्रीय बहिष्करण के साथ एक शक्तिशाली पेलोड
हमला अभियान स्टीलसी की तैनाती में समाप्त होता है, जो एक सूचना चोर है जिसे 2023 की शुरुआत से मालवेयर-एज़-ए-सर्विस (MaaS) पारिस्थितिकी तंत्र के हिस्से के रूप में विपणन किया गया है। संभवतः आर्केई स्टीलर का एक पुनः इंजीनियर संस्करण, स्टीलसी उन्नत चोरी तकनीकों का दावा करता है। एक उल्लेखनीय विशेषता इसकी क्षेत्रीय लक्ष्यीकरण क्षमताएं हैं - यह रूस, यूक्रेन, बेलारूस, कजाकिस्तान और उजबेकिस्तान में स्थित प्रणालियों को संक्रमित करने से बचती है, जो इसके विकास को निर्देशित करने वाले विशिष्ट उद्देश्यों या बाधाओं का सुझाव देती है।
बढ़ते खतरे और उपयोगकर्ता सतर्कता
मिंट्सलोडर और उससे जुड़े अभियानों की खोज महत्वपूर्ण उद्योगों को लक्षित करने वाले साइबर हमलों की बढ़ती हुई परिष्कृतता को रेखांकित करती है। नकली कैप्चा संकेतों के माध्यम से विश्वास का शोषण करके और जटिल वितरण तंत्र का लाभ उठाकर, हमलावर अपने तरीकों को नया रूप देना जारी रखते हैं। जैसे-जैसे इस तरह के खतरे अधिक उन्नत होते जाते हैं, उपयोगकर्ता सतर्कता इन भ्रामक योजनाओं का शिकार होने से बचने के लिए एक महत्वपूर्ण बचाव बनी हुई है।
