MintsLoader Malware
Cercetătorii în domeniul securității cibernetice au descoperit o campanie activă care folosește un încărcător de malware cunoscut sub numele de MintsLoader. Această amenințare bazată pe PowerShell a fost utilizată pentru a distribui încărcături utile secundare, inclusiv furtul de informații StealC și o platformă open-source legitimă numită BOINC. Livrat prin e-mailuri spam, MintsLoader folosește link-uri către pagini KongTuke sau ClickFix sau fișiere JScript rău intenționate pentru a obține acces la sistemele victimelor. Campania, detectată la începutul lunii ianuarie 2025, a vizat în primul rând sectoare critice precum electricitatea, petrolul și gazele și serviciile juridice din Statele Unite și Europa.
Cuprins
Solicitări CAPTCHA false: un punct de intrare înșelător
Campania exploatează o tendință în creștere în tactici dăunătoare, cum ar fi abuzul de solicitări false de verificare CAPTCHA. Aceste pagini înșelătoare îi păcălesc pe utilizatori să execute scripturi PowerShell compromise, pretinzându-se drept verificări umane de rutină. Cunoscute sub denumirea de tehnici KongTuke și ClickFix, aceste atacuri manipulează utilizatorii nesuspectați prin injectarea de scripturi rău intenționate în buffer-urile lor de copiere/lipire. Victimele sunt apoi instruite să lipească și să execute scriptul în fereastra Windows Run, completând prima etapă de infiltrare a atacatorilor.
Cum injectează KongTuke scripturi frauduloase
KongTuke se bazează pe un mecanism de injectare de script care face ca site-urile web vizate să afișeze pagini contrafăcute „verificați că sunteți om”. Când o victimă interacționează cu aceste pagini, un script PowerShell răuvoitor este încărcat în tăcere în clipboard-ul lor. Pagina oferă instrucțiuni explicite despre cum să lipiți și să executați scriptul, făcând atacul atât simplu, cât și eficient. O campanie similară care distribuie BOINC demonstrează cât de răspândită a devenit această tehnică înșelătoare.
Lanțul de infecție sofisticat al MintsLoader
Lanțul de atac al MintsLoader începe cu o legătură frauduloasă trimisă prin e-mailuri spam. Când se face clic, linkul descarcă un fișier JavaScript ofuscat. Acest fișier declanșează o comandă PowerShell pentru a descărca MintsLoader folosind curl, a-l executa și a se șterge din sistem pentru a evita detectarea. În căile alternative de atac, utilizatorii sunt redirecționați către pagini în stil ClickFix, unde li se cere din nou să execute scripturi în promptul Windows Run.
Odată implementat, MintsLoader contactează un server Command-and-Control (C2) pentru a descărca încărcături utile suplimentare. Aceste scripturi PowerShell intermediare efectuează verificări ale sistemului pentru a evita sandbox-urile și alte instrumente de analiză. Încărcătorul încorporează, de asemenea, un algoritm de generare a domeniilor (DGA), care creează în mod dinamic nume de domenii C2 adăugând ziua curentă a lunii la o valoare de bază.
StealC: O sarcină utilă puternică cu excluderi regionale
Campania de atac culminează cu desfășurarea StealC , un furt de informații care a fost comercializat ca parte a ecosistemului Malware-as-a-Service (MaaS) de la începutul anului 2023. Probabil o variantă reproiectată a Arkei Stealer , StealC se mândrește cu un sistem avansat. tehnici de evaziune. O caracteristică notabilă este capabilitățile sale de direcționare regională - evită infectarea sistemelor situate în Rusia, Ucraina, Belarus, Kazahstan și Uzbekistan, sugerând motive sau constrângeri specifice care ghidează dezvoltarea sa.
Amenințări în creștere și vigilența utilizatorilor
Descoperirea MintsLoader și a campaniilor sale asociate subliniază sofisticarea evolutivă a atacurilor cibernetice care vizează industriile critice. Prin exploatarea încrederii prin solicitări CAPTCHA false și prin utilizarea mecanismelor complexe de livrare, atacatorii continuă să-și inoveze metodele. Pe măsură ce amenințările ca acestea devin mai avansate, vigilența utilizatorilor rămâne o apărare vitală împotriva căderii victimelor acestor scheme înșelătoare.
