Malware MintsLoader
I ricercatori di sicurezza informatica hanno scoperto una campagna attiva che sfrutta un malware loader noto come MintsLoader. Questa minaccia basata su PowerShell è stata utilizzata per distribuire payload secondari, tra cui il ladro di informazioni StealC e una piattaforma open source legittima chiamata BOINC. Distribuito tramite e-mail di spam, MintsLoader utilizza collegamenti a pagine KongTuke o ClickFix o file JScript dannosi per ottenere l'accesso ai sistemi delle vittime. La campagna, rilevata all'inizio di gennaio 2025, ha preso di mira principalmente settori critici come elettricità, petrolio e gas e servizi legali negli Stati Uniti e in Europa.
Sommario
Richieste CAPTCHA false: un punto di ingresso ingannevole
La campagna sfrutta una tendenza crescente nelle tattiche dannose, come l'abuso di falsi prompt di verifica CAPTCHA. Queste pagine ingannevoli ingannano gli utenti inducendoli a eseguire script PowerShell compromessi, spacciandosi per controlli di verifica umani di routine. Conosciuti come tecniche KongTuke e ClickFix, questi attacchi manipolano gli utenti ignari iniettando script dannosi nei loro buffer di copia/incolla. Le vittime vengono quindi istruite a incollare ed eseguire lo script nella finestra Esegui di Windows, completando la prima fase di infiltrazione degli aggressori.
Come KongTuke inietta script fraudolenti
KongTuke si basa su un meccanismo di iniezione di script che fa sì che i siti Web presi di mira mostrino pagine contraffatte "verifica di essere umano". Quando una vittima interagisce con queste pagine, uno script PowerShell malevolo viene caricato silenziosamente nella sua clipboard. La pagina fornisce istruzioni esplicite su come incollare ed eseguire lo script, rendendo l'attacco semplice ed efficace. Una campagna correlata che distribuisce BOINC dimostra quanto sia diventata diffusa questa tecnica ingannevole.
La sofisticata catena di infezione di MintsLoader
La catena di attacco di MintsLoader inizia con un link fraudolento inviato tramite e-mail di spam. Quando viene cliccato, il link scarica un file JavaScript offuscato. Questo file attiva un comando PowerShell per scaricare MintsLoader tramite curl, eseguirlo e cancellarsi dal sistema per evitare di essere rilevato. In percorsi di attacco alternativi, gli utenti vengono reindirizzati a pagine in stile ClickFix, dove viene nuovamente richiesto loro di eseguire script nel prompt Esegui di Windows.
Una volta distribuito, MintsLoader contatta un server Command-and-Control (C2) per scaricare altri payload. Questi script PowerShell provvisori eseguono controlli di sistema per eludere sandbox e altri strumenti di analisi. Il loader incorpora anche un Domain Generation Algorithm (DGA), che crea dinamicamente nomi di dominio C2 aggiungendo il giorno corrente del mese a un valore seed.
StealC: un potente payload con esclusioni regionali
La campagna di attacco culmina con l'implementazione di StealC , un ladro di informazioni che è stato commercializzato come parte dell'ecosistema Malware-as-a-Service (MaaS) dall'inizio del 2023. Probabilmente una variante riprogettata di Arkei Stealer , StealC vanta tecniche di evasione avanzate. Una caratteristica degna di nota sono le sue capacità di targeting regionale: evita di infettare sistemi situati in Russia, Ucraina, Bielorussia, Kazakistan e Uzbekistan, il che suggerisce motivazioni o vincoli specifici che guidano il suo sviluppo.
Crescenti minacce e vigilanza degli utenti
La scoperta di MintsLoader e delle campagne associate sottolinea la crescente sofisticatezza degli attacchi informatici che prendono di mira settori critici. Sfruttando la fiducia tramite falsi prompt CAPTCHA e sfruttando complessi meccanismi di distribuzione, gli aggressori continuano a innovare i loro metodi. Man mano che minacce come queste diventano più avanzate, la vigilanza degli utenti rimane una difesa fondamentale per non cadere vittime di questi schemi ingannevoli.
