Oprogramowanie złośliwe MintsLoader
Badacze cyberbezpieczeństwa odkryli aktywną kampanię wykorzystującą program ładujący złośliwe oprogramowanie znany jako MintsLoader. To zagrożenie oparte na PowerShell zostało wykorzystane do dystrybucji ładunków wtórnych, w tym programu kradnącego informacje StealC i legalnej platformy open source o nazwie BOINC. Dostarczany za pośrednictwem wiadomości e-mail ze spamem, MintsLoader wykorzystuje linki do stron KongTuke lub ClickFix lub złośliwe pliki JScript, aby uzyskać dostęp do systemów ofiar. Kampania, wykryta na początku stycznia 2025 r., była skierowana głównie do sektorów krytycznych, takich jak elektryczność, ropa i gaz oraz usługi prawne w Stanach Zjednoczonych i Europie.
Spis treści
Fałszywe monity CAPTCHA: mylący punkt wejścia
Kampania wykorzystuje rosnący trend szkodliwych taktyk, takich jak nadużywanie fałszywych monitów weryfikacyjnych CAPTCHA. Te oszukańcze strony oszukują użytkowników, aby wykonywali zainfekowane skrypty PowerShell, podszywając się pod rutynowe kontrole weryfikacji wykonywane przez człowieka. Znane jako techniki KongTuke i ClickFix, ataki te manipulują niczego niepodejrzewającymi użytkownikami, wstrzykując złośliwe skrypty do ich buforów kopiuj/wklej. Następnie ofiary otrzymują polecenie wklejenia i wykonania skryptu w oknie Uruchom systemu Windows, kończąc pierwszy etap infiltracji atakujących.
Jak KongTuke wstrzykuje oszukańcze skrypty
KongTuke opiera się na mechanizmie wstrzykiwania skryptów, który powoduje, że docelowe witryny wyświetlają fałszywe strony „weryfikuj, że jesteś człowiekiem”. Gdy ofiara wchodzi w interakcję z tymi stronami, złośliwy skrypt PowerShell jest po cichu ładowany do jej schowka. Strona zawiera wyraźne instrukcje dotyczące wklejania i wykonywania skryptu, dzięki czemu atak jest prosty i skuteczny. Powiązana kampania dystrybuująca BOINC pokazuje, jak powszechna stała się ta oszukańcza technika.
Zaawansowany łańcuch infekcji MintsLoader
Łańcuch ataków MintsLoader zaczyna się od oszukańczego łącza dostarczonego w wiadomościach e-mail ze spamem. Po kliknięciu łącza pobierany jest zaciemniony plik JavaScript. Ten plik uruchamia polecenie programu PowerShell w celu pobrania MintsLoader za pomocą curl, wykonania go i usunięcia z systemu, aby uniknąć wykrycia. W alternatywnych ścieżkach ataku użytkownicy są przekierowywani na strony w stylu ClickFix, gdzie ponownie są proszeni o wykonanie skryptów w wierszu poleceń systemu Windows.
Po wdrożeniu MintsLoader kontaktuje się z serwerem Command-and-Control (C2), aby pobrać dalsze ładunki. Te tymczasowe skrypty PowerShell wykonują kontrole systemu, aby ominąć piaskownice i inne narzędzia analityczne. Ładowarka zawiera również algorytm generowania domeny (DGA), który dynamicznie tworzy nazwy domen C2, dodając bieżący dzień miesiąca do wartości początkowej.
StealC: Potężny ładunek z wykluczeniami regionalnymi
Kampania ataku osiąga punkt kulminacyjny we wdrożeniu StealC , złodzieja informacji, który jest sprzedawany jako część ekosystemu Malware-as-a-Service (MaaS) od początku 2023 roku. Prawdopodobnie przeprojektowana wersja Arkei Stealer , StealC szczyci się zaawansowanymi technikami unikania. Jedną z godnych uwagi cech są jego możliwości regionalnego kierowania — unika infekowania systemów zlokalizowanych w Rosji, Ukrainie, Białorusi, Kazachstanie i Uzbekistanie, co sugeruje określone motywy lub ograniczenia kierujące jego rozwojem.
Rosnące zagrożenia i czujność użytkowników
Odkrycie MintsLoader i powiązanych z nim kampanii podkreśla ewoluującą wyrafinowaną naturę cyberataków wymierzonych w branże krytyczne. Wykorzystując zaufanie za pomocą fałszywych monitów CAPTCHA i wykorzystując skomplikowane mechanizmy dostarczania, atakujący nadal udoskonalają swoje metody. W miarę jak zagrożenia takie stają się coraz bardziej zaawansowane, czujność użytkowników pozostaje kluczową obroną przed padnięciem ofiarą tych oszukańczych schematów.
