MintsLoader Malware
Penyelidik keselamatan siber telah menemui kempen aktif yang memanfaatkan pemuat perisian hasad yang dikenali sebagai MintsLoader. Ancaman berasaskan PowerShell ini telah digunakan untuk mengedarkan muatan sekunder, termasuk pencuri maklumat StealC dan platform sumber terbuka yang sah yang dipanggil BOINC. Dihantar melalui e-mel spam, MintsLoader menggunakan pautan ke halaman KongTuke atau ClickFix atau fail JScript yang berniat jahat untuk mendapatkan akses kepada sistem mangsa. Kempen itu, yang dikesan pada awal Januari 2025, menyasarkan terutamanya sektor kritikal seperti elektrik, minyak dan gas serta perkhidmatan undang-undang di Amerika Syarikat dan Eropah.
Isi kandungan
Gesaan CAPTCHA Palsu: Titik Kemasukan yang Mengelirukan
Kempen ini mengeksploitasi trend yang semakin meningkat dalam taktik berbahaya, seperti menyalahgunakan gesaan pengesahan CAPTCHA palsu. Halaman yang mengelirukan ini menipu pengguna untuk melaksanakan skrip PowerShell yang terjejas dengan menyamar sebagai pemeriksaan pengesahan manusia rutin. Dikenali sebagai teknik KongTuke dan ClickFix, serangan ini memanipulasi pengguna yang tidak curiga dengan menyuntik skrip berniat jahat ke dalam penimbal salin/tampal mereka. Mangsa kemudian diarahkan untuk menampal dan melaksanakan skrip dalam tetingkap Windows Run, melengkapkan peringkat pertama penyusupan penyerang.
Bagaimana KongTuke Menyuntik Skrip Penipuan
KongTuke bergantung pada mekanisme suntikan skrip yang menyebabkan tapak web yang disasarkan memaparkan halaman 'sahkan anda manusia' palsu. Apabila mangsa berinteraksi dengan halaman ini, skrip PowerShell yang jahat dimuatkan secara senyap ke dalam papan klip mereka. Halaman ini memberikan arahan yang jelas tentang cara menampal dan melaksanakan skrip, menjadikan serangan itu mudah dan berkesan. Kempen yang berkaitan mengedarkan BOINC menunjukkan betapa meluasnya teknik menipu ini.
Rantaian Jangkitan Canggih MintsLoader
Rantaian serangan MintsLoader bermula dengan pautan penipuan yang dihantar melalui e-mel spam. Apabila diklik, pautan memuat turun fail JavaScript yang dikelirukan. Fail ini mencetuskan arahan PowerShell untuk memuat turun MintsLoader menggunakan curl, laksanakannya dan padam sendiri daripada sistem untuk mengelakkan pengesanan. Dalam laluan serangan alternatif, pengguna dialihkan ke halaman gaya ClickFix, di mana mereka sekali lagi digesa untuk melaksanakan skrip dalam gesaan Windows Run.
Setelah digunakan, MintsLoader menghubungi pelayan Command-and-Control (C2) untuk memuat turun muatan selanjutnya. Skrip PowerShell interim ini melakukan semakan sistem untuk mengelakkan kotak pasir dan alat analisis lain. Pemuat juga menggabungkan Algoritma Penjanaan Domain (DGA), yang mencipta nama domain C2 secara dinamik dengan menambahkan hari semasa dalam bulan itu kepada nilai benih.
StealC: Muatan Berkuasa dengan Pengecualian Serantau
Kempen serangan memuncak dengan penggunaan StealC , pencuri maklumat yang telah dipasarkan sebagai sebahagian daripada ekosistem Malware-as-a-Service (MaaS) sejak awal tahun 2023. Kemungkinan varian yang direkayasa semula untuk Arkei Stealer , StealC mempunyai ciri canggih teknik mengelak. Satu ciri yang ketara ialah keupayaan penyasaran serantaunya—ia mengelak menjangkiti sistem yang terletak di Rusia, Ukraine, Belarus, Kazakhstan dan Uzbekistan, mencadangkan motif atau kekangan tertentu yang membimbing pembangunannya.
Ancaman yang Meningkat dan Kewaspadaan Pengguna
Penemuan MintsLoader dan kempen berkaitannya menggariskan kecanggihan serangan siber yang sedang berkembang yang menyasarkan industri kritikal. Dengan mengeksploitasi kepercayaan melalui gesaan CAPTCHA palsu dan memanfaatkan mekanisme penghantaran yang rumit, penyerang terus memperbaharui kaedah mereka. Memandangkan ancaman seperti ini berkembang lebih maju, kewaspadaan pengguna kekal sebagai pertahanan penting daripada menjadi mangsa skim penipuan ini.
