MintsLoader Вредоносное ПО
Исследователи кибербезопасности обнаружили активную кампанию, использующую вредоносный загрузчик, известный как MintsLoader. Эта угроза на основе PowerShell использовалась для распространения вторичных полезных нагрузок, включая похититель информации StealC и легитимную платформу с открытым исходным кодом под названием BOINC. Распространяемый через спам-письма, MintsLoader использует ссылки на страницы KongTuke или ClickFix или вредоносные файлы JScript для получения доступа к системам жертв. Кампания, обнаруженная в начале января 2025 года, в первую очередь была нацелена на такие критически важные секторы, как электроэнергетика, нефть и газ, а также юридические услуги в США и Европе.
Оглавление
Поддельные запросы CAPTCHA: обманчивая точка входа
Кампания использует растущую тенденцию к вредоносным тактикам, таким как злоупотребление поддельными запросами на проверку CAPTCHA. Эти обманные страницы обманывают пользователей, заставляя их выполнять скомпрометированные скрипты PowerShell, выдавая себя за обычные проверки проверки человеком. Известные как методы KongTuke и ClickFix, эти атаки манипулируют ничего не подозревающими пользователями, внедряя вредоносные скрипты в их буферы копирования/вставки. Затем жертвам предлагается вставить и выполнить скрипт в окне «Выполнить» Windows, завершая первый этап проникновения злоумышленников.
Как KongTuke внедряет мошеннические скрипты
KongTuke использует механизм внедрения скрипта, который заставляет целевые веб-сайты отображать поддельные страницы «подтвердите, что вы человек». Когда жертва взаимодействует с этими страницами, в ее буфер обмена незаметно загружается вредоносный скрипт PowerShell. Страница предоставляет подробные инструкции о том, как вставить и выполнить скрипт, что делает атаку простой и эффективной. Связанная с этим кампания по распространению BOINC демонстрирует, насколько широко распространился этот обманный прием.
Сложная цепочка заражения MintsLoader
Цепочка атак MintsLoader начинается с мошеннической ссылки, доставленной через спам-письма. При нажатии на ссылку загружается запутанный файл JavaScript. Этот файл запускает команду PowerShell для загрузки MintsLoader с помощью curl, запускает его и стирает себя из системы, чтобы избежать обнаружения. В альтернативных путях атак пользователи перенаправляются на страницы в стиле ClickFix, где им снова предлагается выполнить скрипты в командной строке Windows Run.
После развертывания MintsLoader связывается с сервером Command-and-Control (C2) для загрузки дополнительных полезных нагрузок. Эти промежуточные скрипты PowerShell выполняют системные проверки, чтобы обойти песочницы и другие инструменты анализа. Загрузчик также включает в себя алгоритм генерации домена (DGA), который динамически создает доменные имена C2, добавляя текущий день месяца к начальному значению.
StealC: Мощная полезная нагрузка с региональными исключениями
Атакующая кампания достигает кульминации в развертывании StealC , похитителя информации, который продается как часть экосистемы Malware-as-a-Service (MaaS) с начала 2023 года. Вероятно, это переработанный вариант Arkei Stealer , StealC может похвастаться передовыми методами уклонения. Одной из примечательных особенностей являются его возможности регионального нацеливания — он избегает заражения систем, расположенных в России, Украине, Беларуси, Казахстане и Узбекистане, что указывает на определенные мотивы или ограничения, направляющие его разработку.
Растущие угрозы и бдительность пользователей
Обнаружение MintsLoader и связанных с ним кампаний подчеркивает растущую изощренность кибератак, нацеленных на критически важные отрасли. Эксплуатируя доверие с помощью поддельных подсказок CAPTCHA и используя сложные механизмы доставки, злоумышленники продолжают совершенствовать свои методы. Поскольку подобные угрозы становятся все более продвинутыми, бдительность пользователей остается жизненно важной защитой от того, чтобы стать жертвой этих обманных схем.
