Malvér MintsLoader
Výskumníci v oblasti kybernetickej bezpečnosti odhalili aktívnu kampaň využívajúcu nakladač škodlivého softvéru známy ako MintsLoader. Táto hrozba založená na PowerShell bola využitá na distribúciu sekundárneho užitočného zaťaženia, vrátane krádeže informácií StealC a legitímnej platformy s otvoreným zdrojom s názvom BOINC. MintsLoader, doručený prostredníctvom spamových e-mailov, používa odkazy na stránky KongTuke alebo ClickFix alebo škodlivé súbory JScript na získanie prístupu k systémom obetí. Kampaň, zistená začiatkom januára 2025, sa primárne zamerala na kritické sektory, ako je elektrina, ropa a plyn, a právne služby v Spojených štátoch a Európe.
Obsah
Falošné výzvy CAPTCHA: Podvodný vstupný bod
Kampaň využíva rastúci trend škodlivých taktík, ako je zneužívanie falošných výziev na overenie CAPTCHA. Tieto klamlivé stránky oklamú používateľov, aby spustili kompromitované skripty PowerShell tým, že sa vydávajú za rutinné ľudské overovacie kontroly. Tieto útoky, známe ako techniky KongTuke a ClickFix, manipulujú s nič netušiacimi používateľmi vstrekovaním škodlivých skriptov do ich vyrovnávacích pamätí na kopírovanie/vkladanie. Obete potom dostanú pokyn, aby vložili a vykonali skript v okne Spustiť Windows, čím sa dokončí prvá fáza infiltrácie útočníkov.
Ako KongTuke zavádza podvodné skripty
KongTuke sa spolieha na mechanizmus vstrekovania skriptov, ktorý spôsobuje, že cielené webové stránky zobrazujú falošné stránky „overte, že ste človek“. Keď obeť interaguje s týmito stránkami, do jej schránky sa potichu načíta škodlivý skript PowerShell. Stránka poskytuje explicitné pokyny, ako vložiť a spustiť skript, vďaka čomu je útok jednoduchý a efektívny. Súvisiaca kampaň distribuujúca BOINC ukazuje, ako veľmi sa táto klamlivá technika stala rozšírenou.
Sofistikovaný infekčný reťazec MintsLoader
Útočný reťazec MintsLoader začína podvodným odkazom doručeným prostredníctvom spamových e-mailov. Po kliknutí na odkaz sa stiahne zahmlený súbor JavaScript. Tento súbor spustí príkaz PowerShell na stiahnutie MintsLoader pomocou curl, jeho spustenie a vymazanie zo systému, aby sa zabránilo detekcii. V alternatívnych cestách útoku sú používatelia presmerovaní na stránky v štýle ClickFix, kde sú opäť vyzvaní na spustenie skriptov vo výzve Windows Run.
Po nasadení MintsLoader kontaktuje server Command-and-Control (C2), aby stiahol ďalšie užitočné zaťaženie. Tieto dočasné skripty PowerShell vykonávajú systémové kontroly, aby sa vyhli karanténam a iným analytickým nástrojom. Zavádzač tiež obsahuje algoritmus generovania domén (DGA), ktorý dynamicky vytvára názvy domén C2 pridaním aktuálneho dňa v mesiaci k počiatočnej hodnote.
StealC: Výkonné užitočné zaťaženie s regionálnymi výnimkami
Útočná kampaň vyvrcholí nasadením StealC , informačného zlodeja, ktorý sa predáva ako súčasť ekosystému Malware-as-a-Service (MaaS) od začiatku roku 2023. StealC je pravdepodobne prerobený variant Arkei Stealer , ktorý sa môže pochváliť pokročilým únikové techniky. Jednou z pozoruhodných vlastností sú jeho regionálne schopnosti zacielenia – vyhýba sa infikovaniu systémov nachádzajúcich sa v Rusku, na Ukrajine, v Bielorusku, Kazachstane a Uzbekistane, čo naznačuje špecifické motívy alebo obmedzenia, ktoré riadia jeho vývoj.
Rastúce hrozby a ostražitosť používateľov
Objav MintsLoader a jeho pridružených kampaní podčiarkuje rozvíjajúcu sa sofistikovanosť kybernetických útokov zameraných na kritické odvetvia. Využívaním dôvery prostredníctvom falošných výziev CAPTCHA a využívaním zložitých mechanizmov doručovania útočníci pokračujú v inováciách svojich metód. Keďže hrozby, ako sú tieto, sú čoraz pokročilejšie, ostražitosť používateľov zostáva dôležitou obranou proti tomu, aby sa stali obeťami týchto podvodných schém.
