MintsLoader 맬웨어

사이버 보안 연구원들은 MintsLoader라는 맬웨어 로더를 활용하는 활발한 캠페인을 발견했습니다. 이 PowerShell 기반 위협은 StealC 정보 도용기와 BOINC라는 합법적인 오픈소스 플랫폼을 포함한 2차 페이로드를 배포하는 데 사용되었습니다. 스팸 이메일을 통해 전달되는 MintsLoader는 KongTuke 또는 ClickFix 페이지나 악성 JScript 파일에 대한 링크를 사용하여 피해자의 시스템에 액세스합니다. 2025년 1월 초에 감지된 이 캠페인은 주로 미국과 유럽의 전기, 석유 및 가스, 법률 서비스와 같은 중요한 부문을 표적으로 삼았습니다.

가짜 CAPTCHA 프롬프트: 사기성 진입점

이 캠페인은 가짜 CAPTCHA 확인 프롬프트를 남용하는 것과 같은 해로운 전술의 증가하는 추세를 이용합니다. 이러한 사기성 페이지는 일상적인 인간 확인 검사로 가장하여 손상된 PowerShell 스크립트를 실행하도록 사용자를 속입니다. KongTuke 및 ClickFix 기술로 알려진 이러한 공격은 악성 스크립트를 복사/붙여넣기 버퍼에 주입하여 의심하지 않는 사용자를 조종합니다. 그런 다음 피해자는 Windows 실행 창에 스크립트를 붙여넣고 실행하도록 지시받으며 공격자의 첫 번째 침투 단계를 완료합니다.

KongTuke가 사기성 스크립트를 주입하는 방법

KongTuke는 타깃 웹사이트가 가짜 '당신이 인간인지 확인하세요' 페이지를 표시하도록 하는 스크립트 주입 메커니즘을 사용합니다. 피해자가 이러한 페이지와 상호 작용하면 악의적인 PowerShell 스크립트가 클립보드에 자동으로 로드됩니다. 이 페이지는 스크립트를 붙여넣고 실행하는 방법에 대한 명확한 지침을 제공하여 공격을 간단하고 효과적으로 만듭니다. BOINC를 배포하는 관련 캠페인은 이 사기성 기술이 얼마나 널리 퍼졌는지 보여줍니다.

MintsLoader의 정교한 감염 체인

MintsLoader의 공격 체인은 스팸 이메일을 통해 전달된 사기성 링크로 시작됩니다. 클릭하면 링크가 난독화된 JavaScript 파일을 다운로드합니다. 이 파일은 curl을 사용하여 MintsLoader를 다운로드하고 실행하고 감지되지 않도록 시스템에서 삭제하는 PowerShell 명령을 트리거합니다. 다른 공격 경로에서 사용자는 ClickFix 스타일 페이지로 리디렉션되고, 여기서 다시 Windows 실행 프롬프트에서 스크립트를 실행하라는 메시지가 표시됩니다.

배포되면 MintsLoader는 명령 및 제어(C2) 서버에 연결하여 추가 페이로드를 다운로드합니다. 이러한 임시 PowerShell 스크립트는 샌드박스 및 기타 분석 도구를 피하기 위해 시스템 검사를 수행합니다. 로더는 또한 현재 날짜를 시드 값에 추가하여 C2 도메인 이름을 동적으로 생성하는 도메인 생성 알고리즘(DGA)을 통합합니다.

StealC: 지역 제외 기능이 있는 강력한 페이로드

공격 캠페인은 2023년 초부터 Malware-as-a-Service(MaaS) 생태계의 일부로 마케팅된 정보 스틸러인 StealC 의 배포로 절정에 달합니다. Arkei Stealer 의 재설계된 변형일 가능성이 높은 StealC는 고급 회피 기술을 자랑합니다. 주목할 만한 특징 중 하나는 지역 타겟팅 기능입니다. 러시아, 우크라이나, 벨로루시, 카자흐스탄, 우즈베키스탄에 있는 시스템을 감염시키지 않아 개발을 안내하는 특정 동기나 제약을 시사합니다.

증가하는 위협과 사용자 경계

MintsLoader와 관련 캠페인의 발견은 중요한 산업을 표적으로 삼는 사이버 공격의 진화하는 정교함을 강조합니다. 가짜 CAPTCHA 프롬프트를 통해 신뢰를 악용하고 복잡한 전달 메커니즘을 활용함으로써 공격자는 계속해서 방법을 혁신하고 있습니다. 이러한 위협이 더욱 발전함에 따라 사용자 경계는 이러한 사기성 계획의 희생자가 되는 것을 막는 중요한 방어 수단으로 남아 있습니다.