Malware MintsLoader
Studiuesit e sigurisë kibernetike kanë zbuluar një fushatë aktive duke shfrytëzuar një ngarkues malware të njohur si MintsLoader. Ky kërcënim i bazuar në PowerShell është përdorur për të shpërndarë ngarkesa dytësore, duke përfshirë vjedhësin e informacionit StealC dhe një platformë legjitime me burim të hapur të quajtur BOINC. Dorëzuar përmes emaileve të padëshiruara, MintsLoader përdor lidhje me faqet KongTuke ose ClickFix ose skedarë me qëllim të keq JScript për të fituar akses në sistemet e viktimave. Fushata, e zbuluar në fillim të janarit 2025, ka synuar kryesisht sektorë kritikë si energjia elektrike, nafta dhe gazi dhe shërbimet ligjore në Shtetet e Bashkuara dhe Evropë.
Tabela e Përmbajtjes
Kërkesa të rreme CAPTCHA: Një pikë hyrëse mashtruese
Fushata shfrytëzon një prirje në rritje në taktika të dëmshme, të tilla si abuzimi me kërkesat e rreme të verifikimit CAPTCHA. Këto faqe mashtruese mashtrojnë përdoruesit për të ekzekutuar skriptet e komprometuara të PowerShell duke u paraqitur si kontrolle rutinë të verifikimit njerëzor. Të njohura si teknikat KongTuke dhe ClickFix, këto sulme manipulojnë përdoruesit që nuk dyshojnë duke injektuar skriptet me qëllim të keq në buferat e tyre të kopjimit/ngjitjes. Viktimat më pas udhëzohen të ngjitin dhe ekzekutojnë skriptin në dritaren e Windows Run, duke përfunduar fazën e parë të infiltrimit të sulmuesve.
Si KongTuke injekton skriptet mashtruese
KongTuke mbështetet në një mekanizëm të injektimit të skriptit që bën që faqet e internetit të synuara të shfaqin faqe të falsifikuara 'verifikoni që jeni njerëz'. Kur një viktimë ndërvepron me këto faqe, një skript keqdashës PowerShell ngarkohet në heshtje në kujtesën e tyre. Faqja ofron udhëzime të qarta se si të ngjitni dhe ekzekutoni skriptin, duke e bërë sulmin të thjeshtë dhe efektiv. Një fushatë e lidhur që shpërndan BOINC tregon se sa e përhapur është bërë kjo teknikë mashtruese.
Zinxhiri i sofistikuar i infeksionit MintsLoader
Zinxhiri i sulmit të MintsLoader fillon me një lidhje mashtruese të dorëzuar përmes emaileve të padëshiruara. Kur klikohet, lidhja shkarkon një skedar JavaScript të turbullt. Ky skedar aktivizon një komandë PowerShell për të shkarkuar MintsLoader duke përdorur curl, ekzekutuar atë dhe fshirë veten nga sistemi për të shmangur zbulimin. Në shtigjet alternative të sulmit, përdoruesit ridrejtohen në faqet e stilit ClickFix, ku atyre u kërkohet përsëri të ekzekutojnë skriptet në kërkesën e Windows Run.
Pasi të vendoset, MintsLoader kontakton një server Command-and-Control (C2) për të shkarkuar ngarkesa të tjera. Këto skripta të përkohshëm PowerShell kryejnë kontrolle të sistemit për të shmangur kutitë e rërës dhe mjetet e tjera të analizës. Ngarkuesi gjithashtu përfshin një Algoritëm të Gjenerimit të Domenit (DGA), i cili krijon në mënyrë dinamike emra domenesh C2 duke shtuar ditën aktuale të muajit në një vlerë fillestare.
StealC: Një ngarkesë e fuqishme me përjashtime rajonale
Fushata e sulmit kulmon me vendosjen e StealC , një vjedhës informacioni që është tregtuar si pjesë e ekosistemit Malware-as-a-a-Service (MaaS) që nga fillimi i vitit 2023. Me gjasë një variant i ri-inxhinieruar i Arkei Stealer , StealC krenohet me të avancuar teknikat e evazionit. Një tipar i dukshëm janë aftësitë e tij rajonale të shënjestrimit - ai shmang infektimin e sistemeve të vendosura në Rusi, Ukrainë, Bjellorusi, Kazakistan dhe Uzbekistan, duke sugjeruar motive ose kufizime specifike që drejtojnë zhvillimin e tij.
Rritja e Kërcënimeve dhe Vigjilenca e Përdoruesit
Zbulimi i MintsLoader dhe fushatave të lidhura me të nënvizon sofistikimin në zhvillim të sulmeve kibernetike që synojnë industritë kritike. Duke shfrytëzuar besimin përmes kërkesave të rreme CAPTCHA dhe duke shfrytëzuar mekanizmat e ndërlikuar të ofrimit, sulmuesit vazhdojnë të inovojnë metodat e tyre. Ndërsa kërcënimet si këto bëhen më të avancuara, vigjilenca e përdoruesve mbetet një mbrojtje jetike kundër rënies viktimë e këtyre skemave mashtruese.
