MintsLoader rosszindulatú program
A kiberbiztonsági kutatók egy aktív kampányt fedeztek fel, amely a MintsLoader néven ismert rosszindulatú programbetöltőt használja fel. Ezt a PowerShell-alapú fenyegetést másodlagos hasznos terhelések elosztására használták, beleértve a StealC információlopót és a BOINC nevű legitim nyílt forráskódú platformot. A spam e-maileken keresztül kézbesített MintsLoader KongTuke vagy ClickFix oldalakra mutató hivatkozásokat vagy rosszindulatú JScript fájlokat használ az áldozatok rendszereihez való hozzáféréshez. A 2025. január elején észlelt kampány elsősorban az olyan kritikus ágazatokat célozta meg az Egyesült Államokban és Európában, mint a villamos energia, az olaj és a gáz, valamint a jogi szolgáltatások.
Tartalomjegyzék
Hamis CAPTCHA felszólítások: megtévesztő belépési pont
A kampány a káros taktikák növekvő tendenciáját használja ki, például a hamis CAPTCHA-ellenőrzési felszólításokkal való visszaélést. Ezek a megtévesztő oldalak ráveszik a felhasználókat, hogy kompromittált PowerShell-szkripteket hajtsanak végre azáltal, hogy rutin emberi ellenőrzésnek adják ki magukat. Ezek a KongTuke és ClickFix technikák néven ismert támadások a gyanútlan felhasználókat manipulálják azáltal, hogy rosszindulatú szkripteket fecskendeznek be másolási/beillesztési puffereikbe. Az áldozatok ezután arra utasítják, hogy illessze be és hajtsa végre a szkriptet a Windows Futtatás ablakában, ezzel befejezve a támadók beszivárgásának első szakaszát.
Hogyan szúrja be a KongTuke csaló szkripteket?
A KongTuke egy script-injektáló mechanizmusra támaszkodik, amely arra készteti a megcélzott webhelyeket, hogy hamisított „ellenőrizze, hogy Ön ember” oldalakat jelenítenek meg. Amikor egy áldozat kapcsolatba lép ezekkel az oldalakkal, egy rosszindulatú PowerShell-szkript csendben betöltődik a vágólapra. Az oldal egyértelmű utasításokat tartalmaz a szkript beillesztésére és végrehajtására vonatkozóan, így a támadás egyszerű és hatékony. Egy kapcsolódó, BOINC-t terjesztő kampány bemutatja, hogy ez a megtévesztő technika mennyire elterjedt.
A MintsLoader kifinomult fertőzési lánca
A MintsLoader támadási lánca egy spam e-maileken keresztül eljuttatott csaló linkkel kezdődik. Ha rákattint, a link letölt egy obfuszkált JavaScript-fájlt. Ez a fájl egy PowerShell-parancsot indít el a MintsLoader letöltéséhez a curl használatával, végrehajtja azt, és törli magát a rendszerből az észlelés elkerülése érdekében. Alternatív támadási útvonalakon a felhasználók átirányításra kerülnek ClickFix stílusú oldalakra, ahol a Windows Futtatás parancssorában ismét parancsfájlok végrehajtására kell kérniük őket.
A telepítés után a MintsLoader felveszi a kapcsolatot egy Command-and-Control (C2) kiszolgálóval, hogy letöltse a további hasznos adatokat. Ezek az ideiglenes PowerShell-parancsfájlok rendszerellenőrzéseket hajtanak végre a sandboxok és más elemzőeszközök elkerülése érdekében. A betöltő tartalmaz egy Domain Generation Algorithm (DGA) algoritmust is, amely dinamikusan hoz létre C2 tartományneveket úgy, hogy hozzáadja a hónap aktuális napját egy kezdőértékhez.
StealC: Erőteljes hasznos teher regionális kivételekkel
A támadási kampány a StealC bevetésével éri el, egy információlopót, amelyet 2023 eleje óta a Malware-as-a-Service (MaaS) ökoszisztéma részeként forgalmaznak. Valószínűleg az Arkei Stealer újratervezett változata, a StealC fejlett fejlesztésekkel büszkélkedhet. kijátszási technikák. Az egyik figyelemre méltó jellemzője a regionális célzási képességek – elkerüli az Oroszországban, Ukrajnában, Fehéroroszországban, Kazahsztánban és Üzbegisztánban található rendszerek megfertőzését, ami konkrét okokra vagy korlátokra utal, amelyek a fejlesztést irányítják.
Növekvő fenyegetések és felhasználói éberség
A MintsLoader és a hozzá kapcsolódó kampányok felfedezése rávilágít a kritikus iparágakat célzó kibertámadások kifinomultságára. A bizalmat hamis CAPTCHA utasításokkal és bonyolult kézbesítési mechanizmusokkal kihasználva a támadók továbbra is megújítják módszereiket. Ahogy az ehhez hasonló fenyegetések egyre fejlettebbek, a felhasználói éberség továbbra is létfontosságú védelem a megtévesztő sémák áldozatául esése ellen.
