Zlonamerna programska oprema MintsLoader
Raziskovalci kibernetske varnosti so odkrili aktivno kampanjo, ki uporablja nalagalnik zlonamerne programske opreme, znan kot MintsLoader. Ta grožnja, ki temelji na lupini PowerShell, je bila uporabljena za distribucijo sekundarnega tovora, vključno s krajo informacij StealC in zakonito odprtokodno platformo, imenovano BOINC. MintsLoader, dostavljen prek vsiljene e-pošte, uporablja povezave do strani KongTuke ali ClickFix ali zlonamernih datotek JScript za dostop do sistemov žrtev. Kampanja, odkrita v začetku januarja 2025, je bila usmerjena predvsem v kritične sektorje, kot so elektrika, nafta in plin ter pravne storitve v Združenih državah in Evropi.
Kazalo
Lažni pozivi CAPTCHA: zavajajoča vstopna točka
Kampanja izkorišča naraščajoči trend škodljivih taktik, kot je zloraba lažnih pozivov za preverjanje CAPTCHA. Te zavajajoče strani zavedejo uporabnike, da izvedejo ogrožene skripte PowerShell, tako da se predstavljajo kot rutinska preverjanja človeškega preverjanja. Ti napadi, znani kot tehniki KongTuke in ClickFix, manipulirajo z nič hudega slutečimi uporabniki tako, da v njihove medpomnilnike za kopiranje in lepljenje vbrizgajo zlonamerne skripte. Žrtvam je nato naročeno, naj prilepijo in izvedejo skript v oknu Windows Run, s čimer zaključijo napadalčevo prvo stopnjo infiltracije.
Kako KongTuke vstavi goljufive skripte
KongTuke se zanaša na mehanizem za vstavljanje skripta, ki povzroči, da ciljna spletna mesta prikažejo ponarejene strani s potrditvijo, da ste človek. Ko žrtev komunicira s temi stranmi, se v njeno odložišče tiho naloži zlonamerni skript PowerShell. Stran ponuja izrecna navodila o tem, kako prilepiti in izvesti skript, zaradi česar je napad preprost in učinkovit. Povezana kampanja, ki distribuira BOINC, prikazuje, kako razširjena je postala ta zavajajoča tehnika.
MintsLoaderjeva sofisticirana veriga okužb
Veriga napadov MintsLoader se začne z goljufivo povezavo, dostavljeno prek vsiljene e-pošte. Ko kliknete povezavo, se prenese zakrita datoteka JavaScript. Ta datoteka sproži ukaz PowerShell za prenos MintsLoaderja z uporabo curl, ga izvede in se izbriše iz sistema, da se izogne zaznavanju. Pri alternativnih poteh napada so uporabniki preusmerjeni na strani v slogu ClickFix, kjer so ponovno pozvani, naj izvedejo skripte v pozivu Windows Run.
Ko je uveden, MintsLoader vzpostavi stik s strežnikom Command-and-Control (C2), da prenese nadaljnje koristne obremenitve. Ti vmesni skripti PowerShell izvajajo preverjanja sistema, da se izognejo peskovnikom in drugim orodjem za analizo. Nalagalnik vključuje tudi algoritem za generiranje domen (DGA), ki dinamično ustvari imena domen C2 z dodajanjem trenutnega dne v mesecu semenski vrednosti.
StealC: zmogljiva obremenitev z regionalnimi izključitvami
Kampanja napada doseže vrhunec z uvedbo StealC , krajca informacij, ki se od začetka leta 2023 trži kot del ekosistema Malware-as-a-Service (MaaS). StealC, ki je verjetno preoblikovana različica Arkei Stealer , se ponaša z naprednimi tehnike utaje. Ena od pomembnih lastnosti je zmožnost regionalnega ciljanja – izogiba se okužbi sistemov, ki se nahajajo v Rusiji, Ukrajini, Belorusiji, Kazahstanu in Uzbekistanu, kar kaže na posebne motive ali omejitve, ki vodijo njegov razvoj.
Naraščajoče grožnje in pozornost uporabnikov
Odkritje MintsLoaderja in z njim povezanih kampanj poudarja razvijajočo se sofisticiranost kibernetskih napadov, ki ciljajo na kritične industrije. Z izkoriščanjem zaupanja prek lažnih pozivov CAPTCHA in izkoriščanjem zapletenih mehanizmov dostave napadalci še naprej uvajajo inovacije v svoje metode. Ker takšne grožnje postajajo vse bolj napredne, ostaja budnost uporabnikov bistvena obramba pred tem, da postanejo žrtve teh zavajajočih shem.
