MintsLoader-malware
Cybersecurity-onderzoekers hebben een actieve campagne ontdekt die gebruikmaakt van een malware-loader die bekendstaat als MintsLoader. Deze op PowerShell gebaseerde bedreiging is gebruikt om secundaire payloads te verspreiden, waaronder de StealC-informatiestealer en een legitiem open-sourceplatform genaamd BOINC. MintsLoader wordt via spam-e-mails verzonden en gebruikt links naar KongTuke- of ClickFix-pagina's of schadelijke JScript-bestanden om toegang te krijgen tot de systemen van slachtoffers. De campagne, die begin januari 2025 werd ontdekt, was voornamelijk gericht op kritieke sectoren zoals elektriciteit, olie en gas en juridische diensten in de Verenigde Staten en Europa.
Inhoudsopgave
Nep-CAPTCHA-prompts: een misleidend toegangspunt
De campagne maakt gebruik van een groeiende trend in schadelijke tactieken, zoals het misbruiken van valse CAPTCHA-verificatieprompts. Deze misleidende pagina's misleiden gebruikers om gecompromitteerde PowerShell-scripts uit te voeren door zich voor te doen als routinematige menselijke verificatiecontroles. Deze aanvallen, bekend als KongTuke- en ClickFix-technieken, manipuleren nietsvermoedende gebruikers door schadelijke scripts in hun kopieer-/plakbuffers te injecteren. Slachtoffers krijgen vervolgens de opdracht om het script te plakken en uit te voeren in het Windows Run-venster, waarmee de eerste fase van infiltratie van de aanvallers wordt voltooid.
Hoe KongTuke frauduleuze scripts injecteert
KongTuke vertrouwt op een scriptinjectiemechanisme dat ervoor zorgt dat gerichte websites namaakpagina's met 'verify you are human' weergeven. Wanneer een slachtoffer met deze pagina's interageert, wordt er stilletjes een kwaadaardig PowerShell-script in het klembord geladen. De pagina geeft expliciete instructies over hoe het script geplakt en uitgevoerd moet worden, waardoor de aanval zowel eenvoudig als effectief is. Een gerelateerde campagne die BOINC verspreidt, laat zien hoe wijdverspreid deze misleidende techniek is geworden.
De geavanceerde infectieketen van MintsLoader
De aanvalsketen van MintsLoader begint met een frauduleuze link die via spam-e-mails wordt verzonden. Wanneer erop wordt geklikt, downloadt de link een verhuld JavaScript-bestand. Dit bestand activeert een PowerShell-opdracht om MintsLoader te downloaden met behulp van curl, het uit te voeren en zichzelf van het systeem te wissen om detectie te voorkomen. Bij alternatieve aanvalspaden worden gebruikers omgeleid naar ClickFix-stijlpagina's, waar ze opnieuw worden gevraagd om scripts uit te voeren in de Windows Run-prompt.
Na implementatie neemt MintsLoader contact op met een Command-and-Control (C2) server om verdere payloads te downloaden. Deze interim PowerShell scripts voeren systeemcontroles uit om sandboxes en andere analysetools te omzeilen. De loader bevat ook een Domain Generation Algorithm (DGA), dat dynamisch C2 domeinnamen creëert door de huidige dag van de maand toe te voegen aan een seed-waarde.
StealC: een krachtige payload met regionale uitsluitingen
De aanvalscampagne culmineert in de inzet van StealC , een informatiedief die sinds begin 2023 op de markt wordt gebracht als onderdeel van het Malware-as-a-Service (MaaS)-ecosysteem. Waarschijnlijk een opnieuw ontworpen variant van de Arkei Stealer , beschikt StealC over geavanceerde ontwijkingstechnieken. Een opvallend kenmerk is de regionale targetingcapaciteit: het vermijdt het infecteren van systemen in Rusland, Oekraïne, Wit-Rusland, Kazachstan en Oezbekistan, wat suggereert dat er specifieke motieven of beperkingen zijn die de ontwikkeling ervan sturen.
Toenemende bedreigingen en waakzaamheid van gebruikers
De ontdekking van MintsLoader en de bijbehorende campagnes onderstreept de evoluerende verfijning van cyberaanvallen die zich richten op kritieke industrieën. Door vertrouwen te misbruiken via nep-CAPTCHA-prompts en ingewikkelde leveringsmechanismen te benutten, blijven aanvallers hun methoden innoveren. Naarmate bedreigingen als deze geavanceerder worden, blijft waakzaamheid van gebruikers een essentiële verdediging tegen het slachtoffer worden van deze misleidende schema's.
