„MintsLoader“ kenkėjiška programa
Kibernetinio saugumo tyrėjai atskleidė aktyvią kampaniją, naudojančią kenkėjiškų programų įkroviklį, žinomą kaip MintsLoader. Ši „PowerShell“ grėsmė buvo panaudota antriniams naudingiesiems kroviniams platinti, įskaitant „StealC“ informacijos vagį ir teisėtą atvirojo kodo platformą, vadinamą BOINC. Siunčiama šlamšto el. laiškais, „MintsLoader“ naudoja nuorodas į „KongTuke“ arba „ClickFix“ puslapius arba kenkėjiškus JScript failus, kad pasiektų aukų sistemas. Kampanija, aptikta 2025 m. sausio pradžioje, pirmiausia buvo skirta svarbiems sektoriams, tokiems kaip elektra, nafta ir dujos, ir teisinės paslaugos Jungtinėse Valstijose ir Europoje.
Turinys
Netikri CAPTCHA raginimai: apgaulingas įėjimo taškas
Kampanijoje išnaudojama auganti žalingos taktikos tendencija, pvz., piktnaudžiavimas suklastotais CAPTCHA patvirtinimo raginimais. Šie apgaulingi puslapiai priverčia vartotojus vykdyti pažeistus „PowerShell“ scenarijus, apsimetinėdami kaip įprastiniu žmogaus patvirtinimo patikrinimu. Šios atakos, žinomos kaip „KongTuke“ ir „ClickFix“ metodai, manipuliuoja nieko neįtariančiais vartotojais, įterpdami kenkėjiškus scenarijus į jų kopijavimo / įklijavimo buferius. Tada aukoms nurodoma įklijuoti ir vykdyti scenarijų „Windows Run“ lange, taip užbaigiant pirmąjį užpuoliko įsiskverbimo etapą.
Kaip KongTuke įveda apgaulingus scenarijus
„KongTuke“ remiasi scenarijaus įterpimo mechanizmu, dėl kurio tikslinėse svetainėse rodomi padirbti „patvirtinkite, kad esate žmogus“ puslapiai. Kai auka sąveikauja su šiais puslapiais, piktybinis PowerShell scenarijus tyliai įkeliamas į jų mainų sritį. Puslapyje pateikiamos aiškios instrukcijos, kaip įklijuoti ir vykdyti scenarijų, kad ataka būtų paprasta ir efektyvi. Susijusi kampanija, platinanti BOINC, parodo, kaip plačiai paplito ši apgaulinga technika.
„MintsLoader“ sudėtinga infekcijų grandinė
„MintsLoader“ atakų grandinė prasideda nuo apgaulingos nuorodos, pristatomos per el. pašto šiukšles. Spustelėjus nuorodą, atsisiunčiamas užtemdytas JavaScript failas. Šis failas suaktyvina „PowerShell“ komandą, kad atsisiųstų „MintsLoader“ naudojant curl, paleistų ją ir išsitrintų iš sistemos, kad būtų išvengta aptikimo. Alternatyviais atakos keliais vartotojai nukreipiami į ClickFix stiliaus puslapius, kur jie vėl raginami vykdyti scenarijus Windows Run raginime.
Įdiegta „MintsLoader“ susisiekia su „Command-and-Control“ (C2) serveriu, kad atsisiųstų kitus naudingus krovinius. Šie tarpiniai „PowerShell“ scenarijai atlieka sistemos patikras, kad išvengtų smėlio dėžės ir kitų analizės įrankių. Įkroviklis taip pat apima domenų generavimo algoritmą (DGA), kuris dinamiškai sukuria C2 domenų vardus, pridėdamas dabartinę mėnesio dieną prie pradinės vertės.
„StealC“: galingas krovinys su regioninėmis išimtimis
Atakos kampanija baigiasi „StealC “ – informacijos vagystės, kuri nuo 2023 m. pradžios buvo parduodama kaip kenkėjiškų programų kaip paslaugos (MaaS) ekosistemos dalis. vengimo būdai. Vienas iš pastebimų bruožų yra regioninio taikymo galimybės – jis vengia užkrėsti Rusijoje, Ukrainoje, Baltarusijoje, Kazachstane ir Uzbekistane esančias sistemas, nurodant konkrečius motyvus ar apribojimus, lemiančius jos plėtrą.
Didėjančios grėsmės ir vartotojų budrumas
„MintsLoader“ ir su juo susijusių kampanijų atradimas pabrėžia besivystančių kibernetinių atakų, nukreiptų į svarbiausias pramonės šakas, sudėtingumą. Išnaudodami pasitikėjimą suklastotais CAPTCHA raginimais ir pasitelkdami sudėtingus pristatymo mechanizmus, užpuolikai ir toliau tobulina savo metodus. Tokioms grėsmėms augant, kaip šios, vartotojų budrumas išlieka gyvybiškai svarbia apsauga, kad netaptų šių apgaulingų schemų aukomis.
