MintsLoader ਮਾਲਵੇਅਰ
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਸਰਗਰਮ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ ਜੋ ਇੱਕ ਮਾਲਵੇਅਰ ਲੋਡਰ ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ ਜਿਸਨੂੰ MintsLoader ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਇਸ PowerShell-ਅਧਾਰਿਤ ਧਮਕੀ ਦੀ ਵਰਤੋਂ ਸੈਕੰਡਰੀ ਪੇਲੋਡਾਂ ਨੂੰ ਵੰਡਣ ਲਈ ਕੀਤੀ ਗਈ ਹੈ, ਜਿਸ ਵਿੱਚ StealC ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਵਾਲਾ ਅਤੇ BOINC ਨਾਮਕ ਇੱਕ ਜਾਇਜ਼ ਓਪਨ-ਸੋਰਸ ਪਲੇਟਫਾਰਮ ਸ਼ਾਮਲ ਹੈ। ਸਪੈਮ ਈਮੇਲਾਂ ਰਾਹੀਂ ਡਿਲੀਵਰ ਕੀਤਾ ਗਿਆ, MintsLoader ਪੀੜਤਾਂ ਦੇ ਸਿਸਟਮਾਂ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ KongTuke ਜਾਂ ClickFix ਪੰਨਿਆਂ ਜਾਂ ਖਤਰਨਾਕ JScript ਫਾਈਲਾਂ ਦੇ ਲਿੰਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਜਨਵਰੀ 2025 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਖੋਜੀ ਗਈ ਇਸ ਮੁਹਿੰਮ ਨੇ ਮੁੱਖ ਤੌਰ 'ਤੇ ਸੰਯੁਕਤ ਰਾਜ ਅਤੇ ਯੂਰਪ ਵਿੱਚ ਬਿਜਲੀ, ਤੇਲ ਅਤੇ ਗੈਸ ਅਤੇ ਕਾਨੂੰਨੀ ਸੇਵਾਵਾਂ ਵਰਗੇ ਨਾਜ਼ੁਕ ਖੇਤਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਜਾਅਲੀ ਕੈਪਟਚਾ ਪ੍ਰੋਂਪਟ: ਇੱਕ ਧੋਖੇਬਾਜ਼ ਐਂਟਰੀ ਪੁਆਇੰਟ
ਮੁਹਿੰਮ ਨੁਕਸਾਨਦੇਹ ਚਾਲਾਂ ਵਿੱਚ ਵਧ ਰਹੇ ਰੁਝਾਨ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੀ ਹੈ, ਜਿਵੇਂ ਕਿ ਜਾਅਲੀ ਕੈਪਟਚਾ ਪੁਸ਼ਟੀਕਰਨ ਪ੍ਰੋਂਪਟਾਂ ਦੀ ਦੁਰਵਰਤੋਂ। ਇਹ ਧੋਖੇਬਾਜ਼ ਪੰਨੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਰੁਟੀਨ ਮਨੁੱਖੀ ਤਸਦੀਕ ਜਾਂਚਾਂ ਵਜੋਂ ਪੇਸ਼ ਕਰਕੇ ਸਮਝੌਤਾ ਕੀਤੀਆਂ PowerShell ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਚਾਲਬਾਜ਼ ਕਰਦੇ ਹਨ। KongTuke ਅਤੇ ClickFix ਤਕਨੀਕਾਂ ਵਜੋਂ ਜਾਣੀਆਂ ਜਾਂਦੀਆਂ ਹਨ, ਇਹ ਹਮਲੇ ਬੇਲੋੜੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਕਾਪੀ/ਪੇਸਟ ਬਫਰਾਂ ਵਿੱਚ ਖਤਰਨਾਕ ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਇੰਜੈਕਟ ਕਰਕੇ ਹੇਰਾਫੇਰੀ ਕਰਦੇ ਹਨ। ਫਿਰ ਪੀੜਤਾਂ ਨੂੰ ਹਮਲਾਵਰਾਂ ਦੀ ਘੁਸਪੈਠ ਦੇ ਪਹਿਲੇ ਪੜਾਅ ਨੂੰ ਪੂਰਾ ਕਰਦੇ ਹੋਏ, ਵਿੰਡੋਜ਼ ਰਨ ਵਿੰਡੋ ਵਿੱਚ ਸਕ੍ਰਿਪਟ ਨੂੰ ਪੇਸਟ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਨਿਰਦੇਸ਼ ਦਿੱਤੇ ਜਾਂਦੇ ਹਨ।
KongTuke ਧੋਖਾਧੜੀ ਵਾਲੀਆਂ ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਕਿਵੇਂ ਇੰਜੈਕਟ ਕਰਦਾ ਹੈ
KongTuke ਇੱਕ ਸਕ੍ਰਿਪਟ ਇੰਜੈਕਸ਼ਨ ਵਿਧੀ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ ਜਿਸ ਨਾਲ ਨਿਸ਼ਾਨਾ ਬਣਾਈਆਂ ਗਈਆਂ ਵੈੱਬਸਾਈਟਾਂ ਨੂੰ ਨਕਲੀ 'ਤਸਦੀਕ ਕਰੋ ਤੁਸੀਂ ਮਨੁੱਖ ਹੋ' ਪੰਨਿਆਂ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦੇ ਹਨ। ਜਦੋਂ ਕੋਈ ਪੀੜਤ ਇਹਨਾਂ ਪੰਨਿਆਂ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਦਾ ਹੈ, ਤਾਂ ਇੱਕ ਖਤਰਨਾਕ PowerShell ਸਕ੍ਰਿਪਟ ਉਹਨਾਂ ਦੇ ਕਲਿੱਪਬੋਰਡ ਵਿੱਚ ਚੁੱਪਚਾਪ ਲੋਡ ਹੋ ਜਾਂਦੀ ਹੈ। ਸਫ਼ਾ ਸਕ੍ਰਿਪਟ ਨੂੰ ਪੇਸਟ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਦੇ ਤਰੀਕੇ ਬਾਰੇ ਸਪਸ਼ਟ ਨਿਰਦੇਸ਼ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਹਮਲੇ ਨੂੰ ਸਰਲ ਅਤੇ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਦੋਵੇਂ ਬਣਾਉਂਦਾ ਹੈ। BOINC ਨੂੰ ਵੰਡਣ ਵਾਲੀ ਇੱਕ ਸੰਬੰਧਿਤ ਮੁਹਿੰਮ ਇਹ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਇਹ ਧੋਖਾ ਦੇਣ ਵਾਲੀ ਤਕਨੀਕ ਕਿੰਨੀ ਵਿਆਪਕ ਹੋ ਗਈ ਹੈ।
MintsLoader's Sophisticated Infection Chain
MintsLoader ਦੀ ਹਮਲੇ ਦੀ ਲੜੀ ਸਪੈਮ ਈਮੇਲਾਂ ਦੁਆਰਾ ਪ੍ਰਦਾਨ ਕੀਤੇ ਗਏ ਇੱਕ ਧੋਖੇਬਾਜ਼ ਲਿੰਕ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ। ਜਦੋਂ ਕਲਿੱਕ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਲਿੰਕ ਇੱਕ ਅਸਪਸ਼ਟ JavaScript ਫਾਈਲ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ। ਇਹ ਫਾਈਲ ਕਰਲ ਦੀ ਵਰਤੋਂ ਕਰਕੇ MintsLoader ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ, ਇਸਨੂੰ ਚਲਾਉਣ, ਅਤੇ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਸਿਸਟਮ ਤੋਂ ਆਪਣੇ ਆਪ ਨੂੰ ਮਿਟਾਉਣ ਲਈ PowerShell ਕਮਾਂਡ ਨੂੰ ਚਾਲੂ ਕਰਦੀ ਹੈ। ਵਿਕਲਪਕ ਹਮਲਾ ਮਾਰਗਾਂ ਵਿੱਚ, ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਕਲਿਕਫਿਕਸ-ਸ਼ੈਲੀ ਵਾਲੇ ਪੰਨਿਆਂ 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਿੱਥੇ ਉਹਨਾਂ ਨੂੰ ਵਿੰਡੋਜ਼ ਰਨ ਪ੍ਰੋਂਪਟ ਵਿੱਚ ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਦੁਬਾਰਾ ਕਿਹਾ ਜਾਂਦਾ ਹੈ।
ਇੱਕ ਵਾਰ ਤੈਨਾਤ, MintsLoader ਹੋਰ ਪੇਲੋਡਸ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਇੱਕ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਸੰਪਰਕ ਕਰਦਾ ਹੈ। ਇਹ ਅੰਤਰਿਮ PowerShell ਸਕ੍ਰਿਪਟਾਂ ਸੈਂਡਬੌਕਸ ਅਤੇ ਹੋਰ ਵਿਸ਼ਲੇਸ਼ਣ ਸਾਧਨਾਂ ਤੋਂ ਬਚਣ ਲਈ ਸਿਸਟਮ ਜਾਂਚ ਕਰਦੀਆਂ ਹਨ। ਲੋਡਰ ਇੱਕ ਡੋਮੇਨ ਜਨਰੇਸ਼ਨ ਐਲਗੋਰਿਦਮ (DGA) ਨੂੰ ਵੀ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ, ਜੋ ਇੱਕ ਬੀਜ ਮੁੱਲ ਵਿੱਚ ਮਹੀਨੇ ਦੇ ਮੌਜੂਦਾ ਦਿਨ ਨੂੰ ਜੋੜ ਕੇ ਗਤੀਸ਼ੀਲ ਤੌਰ 'ਤੇ C2 ਡੋਮੇਨ ਨਾਮ ਬਣਾਉਂਦਾ ਹੈ।
StealC: ਖੇਤਰੀ ਬੇਦਖਲੀ ਦੇ ਨਾਲ ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਪੇਲੋਡ
ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ StealC ਦੀ ਤੈਨਾਤੀ ਵਿੱਚ ਸਮਾਪਤ ਹੁੰਦੀ ਹੈ, ਇੱਕ ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਵਾਲਾ, ਜੋ ਕਿ 2023 ਦੀ ਸ਼ੁਰੂਆਤ ਤੋਂ ਮਾਲਵੇਅਰ-ਏ-ਸਰਵਿਸ (MaaS) ਈਕੋਸਿਸਟਮ ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਮਾਰਕੀਟ ਕੀਤਾ ਗਿਆ ਹੈ। ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ Arkei Stealer ਦਾ ਇੱਕ ਮੁੜ-ਇੰਜੀਨੀਅਰ ਰੂਪ, StealC ਉੱਨਤ ਹੋਣ ਦਾ ਮਾਣ ਕਰਦਾ ਹੈ। ਚੋਰੀ ਤਕਨੀਕ. ਇੱਕ ਮਹੱਤਵਪੂਰਣ ਵਿਸ਼ੇਸ਼ਤਾ ਇਸਦੀ ਖੇਤਰੀ ਨਿਸ਼ਾਨਾ ਸਮਰੱਥਾਵਾਂ ਹੈ - ਇਹ ਰੂਸ, ਯੂਕਰੇਨ, ਬੇਲਾਰੂਸ, ਕਜ਼ਾਕਿਸਤਾਨ ਅਤੇ ਉਜ਼ਬੇਕਿਸਤਾਨ ਵਿੱਚ ਸਥਿਤ ਪ੍ਰਣਾਲੀਆਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਤੋਂ ਬਚਦੀ ਹੈ, ਜੋ ਇਸਦੇ ਵਿਕਾਸ ਦੀ ਅਗਵਾਈ ਕਰਨ ਵਾਲੇ ਖਾਸ ਉਦੇਸ਼ਾਂ ਜਾਂ ਰੁਕਾਵਟਾਂ ਦਾ ਸੁਝਾਅ ਦਿੰਦੀ ਹੈ।
ਵਧ ਰਹੀਆਂ ਧਮਕੀਆਂ ਅਤੇ ਉਪਭੋਗਤਾ ਚੌਕਸੀ
MintsLoader ਅਤੇ ਇਸ ਨਾਲ ਸੰਬੰਧਿਤ ਮੁਹਿੰਮਾਂ ਦੀ ਖੋਜ ਨਾਜ਼ੁਕ ਉਦਯੋਗਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਸਾਈਬਰ ਹਮਲਿਆਂ ਦੀ ਵਿਕਸਿਤ ਹੋ ਰਹੀ ਸੂਝ ਨੂੰ ਰੇਖਾਂਕਿਤ ਕਰਦੀ ਹੈ। ਜਾਅਲੀ ਕੈਪਟਚਾ ਪ੍ਰੋਂਪਟਾਂ ਦੁਆਰਾ ਭਰੋਸੇ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ ਅਤੇ ਗੁੰਝਲਦਾਰ ਡਿਲੀਵਰੀ ਵਿਧੀਆਂ ਦਾ ਲਾਭ ਉਠਾ ਕੇ, ਹਮਲਾਵਰ ਆਪਣੇ ਤਰੀਕਿਆਂ ਨੂੰ ਨਵਾਂ ਬਣਾਉਣਾ ਜਾਰੀ ਰੱਖਦੇ ਹਨ। ਜਿਵੇਂ ਕਿ ਇਹਨਾਂ ਵਰਗੇ ਖਤਰੇ ਵਧੇਰੇ ਉੱਨਤ ਹੁੰਦੇ ਹਨ, ਉਪਭੋਗਤਾ ਦੀ ਚੌਕਸੀ ਇਹਨਾਂ ਧੋਖੇਬਾਜ਼ ਸਕੀਮਾਂ ਦੇ ਸ਼ਿਕਾਰ ਹੋਣ ਦੇ ਵਿਰੁੱਧ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਬਚਾਅ ਬਣ ਜਾਂਦੀ ਹੈ।
