Malware MintsLoader
Istraživači kibernetičke sigurnosti otkrili su aktivnu kampanju koja koristi učitavač zlonamjernog softvera poznat kao MintsLoader. Ova prijetnja temeljena na PowerShell-u korištena je za distribuciju sekundarnih korisnih sadržaja, uključujući kradljivca informacija StealC i legitimnu platformu otvorenog koda pod nazivom BOINC. Isporučen putem neželjene e-pošte, MintsLoader koristi poveznice na KongTuke ili ClickFix stranice ili zlonamjerne JScript datoteke za pristup sustavima žrtava. Kampanja, otkrivena početkom siječnja 2025., primarno je ciljala na kritične sektore kao što su električna energija, nafta i plin te pravne usluge u Sjedinjenim Državama i Europi.
Sadržaj
Lažni CAPTCHA upiti: Varljiva ulazna točka
Kampanja iskorištava rastući trend štetnih taktika, kao što je zlouporaba lažnih CAPTCHA upita za provjeru. Ove lažne stranice varaju korisnike da izvrše kompromitirane PowerShell skripte predstavljajući se kao rutinske ljudske provjere. Poznati kao tehnike KongTuke i ClickFix, ovi napadi manipuliraju korisnicima koji ništa ne sumnjaju ubacivanjem zlonamjernih skripti u njihove međuspremnike za kopiranje/lijepljenje. Žrtvama se zatim daje uputa da zalijepe i izvrše skriptu u prozoru Windows Run, dovršavajući napadačevu prvu fazu infiltracije.
Kako KongTuke ubacuje lažne skripte
KongTuke se oslanja na mehanizam ubacivanja skripti koji uzrokuje da ciljane web stranice prikazuju krivotvorene stranice za potvrdu da ste čovjek. Kada žrtva stupi u interakciju s tim stranicama, zlonamjerna PowerShell skripta tiho se učitava u njen međuspremnik. Stranica pruža eksplicitne upute o tome kako zalijepiti i izvršiti skriptu, čineći napad i jednostavnim i učinkovitim. Povezana kampanja koja distribuira BOINC pokazuje koliko je raširena ova prijevarna tehnika.
MintsLoaderov sofisticirani lanac zaraze
MintsLoaderov lanac napada počinje lažnom vezom isporučenom putem neželjene e-pošte. Kada se klikne, poveznica preuzima maskiranu JavaScript datoteku. Ova datoteka pokreće naredbu PowerShell za preuzimanje MintsLoadera pomoću curla, izvršava ga i briše se iz sustava kako bi se izbjeglo otkrivanje. U alternativnim putevima napada, korisnici se preusmjeravaju na stranice u stilu ClickFixa, gdje se od njih ponovno traži da izvrše skripte u Windows Run promptu.
Nakon što se postavi, MintsLoader kontaktira Command-and-Control (C2) poslužitelj za preuzimanje daljnjeg korisnog opterećenja. Ove privremene PowerShell skripte izvode provjere sustava kako bi izbjegle sandboxove i druge alate za analizu. Učitavač također uključuje algoritam za generiranje domene (DGA), koji dinamički stvara nazive C2 domena dodavanjem trenutnog dana u mjesecu početnoj vrijednosti.
StealC: snažan korisni teret s regionalnim izuzecima
Kampanja napada kulminira uvođenjem StealC-a , kradljivca informacija koji se prodaje kao dio ekosustava Malware-as-a-Service (MaaS) od početka 2023. Vjerojatno rekonstruirana varijanta Arkei Stealera , StealC se može pohvaliti naprednim tehnike izbjegavanja. Jedna značajna značajka je njegova sposobnost regionalnog ciljanja - izbjegava zaraziti sustave koji se nalaze u Rusiji, Ukrajini, Bjelorusiji, Kazahstanu i Uzbekistanu, što ukazuje na specifične motive ili ograničenja koja vode njegov razvoj.
Rastuće prijetnje i oprez korisnika
Otkriće MintsLoadera i njegovih povezanih kampanja naglašava sofisticiranost kibernetičkih napada usmjerenih na kritične industrije. Iskorištavanjem povjerenja putem lažnih CAPTCHA upita i korištenjem zamršenih mehanizama isporuke, napadači nastavljaju inovirati svoje metode. Kako prijetnje poput ovih postaju sve naprednije, oprez korisnika ostaje vitalna obrana da ne postanu žrtve ovih prijevarnih shema.
