MintsLoader ļaunprātīga programmatūra
Kiberdrošības pētnieki ir atklājuši aktīvu kampaņu, izmantojot ļaunprātīgas programmatūras ielādētāju, kas pazīstams kā MintsLoader. Šis uz PowerShell balstītais drauds ir izmantots, lai izplatītu sekundāros lietderīgās kravas, tostarp StealC informācijas zagļu un likumīgu atvērtā pirmkoda platformu BOINC. Piegādāts ar surogātpasta e-pastiem, MintsLoader izmanto saites uz KongTuke vai ClickFix lapām vai ļaunprātīgiem JScript failiem, lai piekļūtu upuru sistēmām. Kampaņa, kas tika atklāta 2025. gada janvāra sākumā, galvenokārt ir vērsta uz tādām kritiskām nozarēm kā elektroenerģija, nafta un gāze, kā arī juridiskie pakalpojumi ASV un Eiropā.
Satura rādītājs
Viltus CAPTCHA uzvednes: maldinošs ieejas punkts
Kampaņā tiek izmantota augoša kaitīgu taktiku tendence, piemēram, viltotu CAPTCHA verifikācijas uzvedņu ļaunprātīga izmantošana. Šīs maldinošās lapas liek lietotājiem izpildīt kompromitētus PowerShell skriptus, izliekoties par ikdienas cilvēka verifikācijas pārbaudēm. Šie uzbrukumi, kas pazīstami kā KongTuke un ClickFix paņēmieni, manipulē ar nenojaušajiem lietotājiem, ievadot ļaunprātīgus skriptus viņu kopēšanas/ielīmēšanas buferos. Pēc tam upuriem tiek dots norādījums ielīmēt un izpildīt skriptu Windows palaišanas logā, pabeidzot uzbrucēju pirmo infiltrācijas posmu.
Kā KongTuke ievada krāpnieciskus skriptus
KongTuke paļaujas uz skriptu ievadīšanas mehānismu, kas liek mērķētām vietnēm rādīt viltotas lapas, kas apstiprina, ka esat cilvēks. Kad upuris mijiedarbojas ar šīm lapām, viņu starpliktuvē klusi tiek ielādēts ļaundabīgs PowerShell skripts. Lapā ir sniegti skaidri norādījumi par skripta ielīmēšanu un izpildi, padarot uzbrukumu gan vienkāršu, gan efektīvu. Saistītā kampaņa, kurā tiek izplatīts BOINC, parāda, cik plaši šī maldinošā tehnika ir kļuvusi.
MintsLoader izsmalcinātā infekcijas ķēde
MintsLoader uzbrukuma ķēde sākas ar krāpniecisku saiti, kas tiek piegādāta ar surogātpasta e-pastiem. Noklikšķinot uz saites, tiek lejupielādēts neskaidrs JavaScript fails. Šis fails aktivizē PowerShell komandu, lai lejupielādētu MintsLoader, izmantojot curl, izpildītu to un izdzēstu sevi no sistēmas, lai izvairītos no atklāšanas. Alternatīvos uzbrukuma ceļos lietotāji tiek novirzīti uz ClickFix stila lapām, kur viņiem atkal tiek piedāvāts izpildīt skriptus Windows Run uzvednē.
Pēc izvietošanas MintsLoader sazinās ar Command-and-Control (C2) serveri, lai lejupielādētu papildu kravas. Šie pagaidu PowerShell skripti veic sistēmas pārbaudes, lai izvairītos no smilškastes un citiem analīzes rīkiem. Iekrāvējs ietver arī domēna ģenerēšanas algoritmu (DGA), kas dinamiski izveido C2 domēna nosaukumus, pievienojot sākuma vērtībai pašreizējo mēneša dienu.
StealC: spēcīga krava ar reģionāliem izņēmumiem
Uzbrukuma kampaņas kulminācija ir StealC — informācijas zaglis, kas kopš 2023. gada sākuma tiek tirgots kā daļa no Malware-as-a-Service (MaaS) ekosistēmas. StealC, iespējams, ir pārveidots Arkei Stealer variants. izvairīšanās paņēmieni. Viena no ievērojamām iezīmēm ir tās reģionālās mērķauditorijas atlases iespējas — tā izvairās inficēt sistēmas, kas atrodas Krievijā, Ukrainā, Baltkrievijā, Kazahstānā un Uzbekistānā, norādot uz konkrētiem motīviem vai ierobežojumiem, kas virza tās attīstību.
Pieaugošie draudi un lietotāju modrība
MintsLoader un ar to saistīto kampaņu atklāšana uzsver to kiberuzbrukumu sarežģītību, kas vērsti uz kritiskām nozarēm. Izmantojot viltus CAPTCHA uzvednes un izmantojot sarežģītus piegādes mehānismus, uzbrucēji turpina ieviest jauninājumus savās metodēs. Tā kā tādi draudi kļūst arvien progresīvāki, lietotāju modrība joprojām ir būtiska aizsardzība pret nekļūšanu par šo maldinošo shēmu upuriem.
