MintsLoader Malware
Истраживачи сајбер безбедности открили су активну кампању која користи учитавач малвера познат као МинтсЛоадер. Ова претња заснована на ПоверСхелл-у је коришћена за дистрибуцију секундарног корисног оптерећења, укључујући СтеалЦ крађу информација и легитимну платформу отвореног кода под називом БОИНЦ. Испоручен путем нежељене е-поште, МинтсЛоадер користи везе до КонгТуке или ЦлицкФик страница или злонамерне ЈСцрипт датотеке да би добио приступ системима жртава. Кампања, откривена почетком јануара 2025., првенствено је циљала критичне секторе као што су електрична енергија, нафта и гас и правне услуге у Сједињеним Државама и Европи.
Преглед садржаја
Лажни ЦАПТЦХА упити: варљива улазна тачка
Кампања користи растући тренд штетних тактика, као што је злоупотреба лажних ЦАПТЦХА верификационих упита. Ове обмањујуће странице наводе кориснике да изврше компромитоване ПоверСхелл скрипте тако што се представљају као рутинске провере људске верификације. Познати као технике КонгТуке и ЦлицкФик, ови напади манипулишу корисницима који ништа не сумњају убацивањем злонамерних скрипти у њихове бафере за копирање/пасте. Жртве се затим налажу да налепе и изврше скрипту у прозору Виндовс Рун, довршавајући прву фазу инфилтрације нападача.
Како КонгТуке убацује лажне скрипте
КонгТуке се ослања на механизам за убризгавање скрипте који доводи до тога да циљане веб локације приказују лажне странице „потврдите да сте човек“. Када жртва ступи у интеракцију са овим страницама, злонамерна ПоверСхелл скрипта се тихо учитава у њихов међуспремник. Страница пружа експлицитна упутства о томе како да налепите и извршите скрипту, чинећи напад једноставним и ефикасним. Повезана кампања која дистрибуира БОИНЦ показује колико је ова техника обмањивања постала раширена.
МинтсЛоадер-ов софистицирани ланац инфекције
МинтсЛоадеров ланац напада почиње лажном везом која се испоручује путем нежељене е-поште. Када се кликне, веза преузима замагљену ЈаваСцрипт датотеку. Ова датотека покреће ПоверСхелл команду за преузимање МинтсЛоадер-а помоћу цурл-а, извршава га и брише се из система да би се избегло откривање. У алтернативним путањама напада, корисници се преусмеравају на странице у стилу ЦлицкФик-а, где се од њих поново тражи да изврше скрипте у Виндовс Рун одзивнику.
Када се примени, МинтсЛоадер контактира сервер за команду и контролу (Ц2) да би преузео даље корисне податке. Ове привремене ПоверСхелл скрипте врше проверу система како би избегле сандбокове и друге алате за анализу. Учитавач такође укључује алгоритам за генерисање домена (ДГА), који динамички креира Ц2 имена домена додавањем текућег дана у месецу основној вредности.
СтеалЦ: моћно оптерећење са регионалним искључењима
Кампања напада кулминира увођењем СтеалЦ-а , крадљиваца информација који се продаје као део екосистема Малваре-ас-а-Сервице (МааС) од почетка 2023. Вероватно је реконструисана варијанта Аркеи Стеалер -а, СтеалЦ се може похвалити напредним технике избегавања. Једна значајна карактеристика су његове могућности регионалног циљања – избегава заразу система који се налазе у Русији, Украјини, Белорусији, Казахстану и Узбекистану, сугеришући специфичне мотиве или ограничења која воде његов развој.
Све веће претње и будност корисника
Откриће МинтсЛоадер-а и повезаних кампања подвлачи развојну софистицираност сајбер напада који циљају критичне индустрије. Искоришћавањем поверења кроз лажне ЦАПТЦХА упите и коришћењем сложених механизама испоруке, нападачи настављају да иновирају своје методе. Како претње попут ових постају све напредније, будност корисника остаје витална одбрана од тога да постану жртве ових обмањујућих шема.
