MintsLoader Malware
Cybersikkerhetsforskere har avdekket en aktiv kampanje som utnytter en malware-laster kjent som MintsLoader. Denne PowerShell-baserte trusselen har blitt brukt til å distribuere sekundære nyttelaster, inkludert StealC-informasjonstyveren og en legitim åpen kildekode-plattform kalt BOINC. MintsLoader leveres via spam-e-poster og bruker lenker til KongTuke- eller ClickFix-sider eller ondsinnede JScript-filer for å få tilgang til ofrenes systemer. Kampanjen, oppdaget tidlig i januar 2025, har først og fremst rettet seg mot kritiske sektorer som elektrisitet, olje og gass og juridiske tjenester i USA og Europa.
Innholdsfortegnelse
Falske CAPTCHA-meldinger: Et villedende inngangspunkt
Kampanjen utnytter en økende trend innen skadelige taktikker, for eksempel misbruk av falske CAPTCHA-bekreftelsesmeldinger. Disse villedende sidene lurer brukere til å utføre kompromitterte PowerShell-skript ved å fremstå som rutinemessige kontroller for menneskelig verifisering. Disse angrepene, kjent som KongTuke- og ClickFix-teknikker, manipulerer intetanende brukere ved å injisere ondsinnede skript i deres kopier/lim inn-buffere. Ofre blir deretter bedt om å lime inn og kjøre skriptet i Windows Run-vinduet, og fullføre angripernes første infiltrasjonsstadium.
Hvordan KongTuke injiserer falske skript
KongTuke er avhengig av en skriptinjeksjonsmekanisme som får målrettede nettsteder til å vise falske "bekreft at du er et menneske"-sider. Når et offer samhandler med disse sidene, lastes et ondsinnet PowerShell-skript stille inn i utklippstavlen deres. Siden gir eksplisitte instruksjoner om hvordan du limer inn og kjører skriptet, noe som gjør angrepet både enkelt og effektivt. En relatert kampanje som distribuerer BOINC viser hvor utbredt denne villedende teknikken har blitt.
MintsLoaders sofistikerte infeksjonskjede
MintsLoaders angrepskjede begynner med en uredelig lenke som leveres via spam-e-poster. Når den klikkes, laster koblingen ned en skjult JavaScript-fil. Denne filen utløser en PowerShell-kommando for å laste ned MintsLoader ved å bruke curl, kjøre den og slette seg selv fra systemet for å unngå oppdagelse. I alternative angrepsbaner blir brukere omdirigert til ClickFix-stilsider, hvor de igjen blir bedt om å kjøre skript i Windows Run-ledeteksten.
Når den er distribuert, kontakter MintsLoader en Command-and-Control-server (C2) for å laste ned ytterligere nyttelast. Disse midlertidige PowerShell-skriptene utfører systemsjekker for å unngå sandkasser og andre analyseverktøy. Lasteren inneholder også en Domain Generation Algorithm (DGA), som dynamisk oppretter C2-domenenavn ved å legge til gjeldende dag i måneden til en frøverdi.
StealC: En kraftig nyttelast med regionale ekskluderinger
Angrepskampanjen kulminerer med utplasseringen av StealC , en informasjonsteler som har blitt markedsført som en del av Malware-as-a-Service (MaaS)-økosystemet siden tidlig i 2023. StealC er sannsynligvis en rekonstruert variant av Arkei Stealer , og har avansert unnvikelsesteknikker. En bemerkelsesverdig funksjon er dens regionale målrettingsevner – den unngår å infisere systemer i Russland, Ukraina, Hviterussland, Kasakhstan og Usbekistan, noe som antyder spesifikke motiver eller begrensninger som styrer utviklingen.
Økende trusler og brukervåkenhet
Oppdagelsen av MintsLoader og tilhørende kampanjer understreker den utviklende sofistikeringen av nettangrep rettet mot kritiske bransjer. Ved å utnytte tillit gjennom falske CAPTCHA-oppfordringer og utnytte intrikate leveringsmekanismer, fortsetter angripere å innovere metodene sine. Ettersom trusler som disse blir mer avanserte, er brukernes årvåkenhet fortsatt et viktig forsvar mot å bli ofre for disse villedende ordningene.
