MintsLoader Malware
Cybersäkerhetsforskare har upptäckt en aktiv kampanj som utnyttjar en skadlig programvara känd som MintsLoader. Detta PowerShell-baserade hot har använts för att distribuera sekundära nyttolaster, inklusive StealC-informationsstjälaren och en legitim öppen källkodsplattform som heter BOINC. MintsLoader levereras via spam-e-post och använder länkar till KongTuke- eller ClickFix-sidor eller skadliga JScript-filer för att få tillgång till offrens system. Kampanjen, som upptäcktes i början av januari 2025, har i första hand riktat sig till kritiska sektorer som elektricitet, olja och gas och juridiska tjänster i USA och Europa.
Innehållsförteckning
Falska CAPTCHA-uppmaningar: En vilseledande ingångspunkt
Kampanjen utnyttjar en växande trend inom skadlig taktik, som att missbruka falska CAPTCHA-verifieringsuppmaningar. Dessa vilseledande sidor lurar användare att köra komprometterade PowerShell-skript genom att utge sig som rutinmässiga mänskliga verifieringskontroller. Kända som KongTuke och ClickFix-tekniker, manipulerar dessa attacker intet ont anande användare genom att injicera skadliga skript i deras kopiera/klistra in buffertar. Offren instrueras sedan att klistra in och köra skriptet i Windows Run-fönstret, vilket slutför angriparnas första steg av infiltration.
Hur KongTuke injicerar bedrägliga skript
KongTuke förlitar sig på en skriptinjektionsmekanism som gör att riktade webbplatser visar förfalskade "verifiera att du är mänsklig"-sidor. När ett offer interagerar med dessa sidor läses ett illvilligt PowerShell-skript tyst in i deras urklipp. Sidan ger explicita instruktioner om hur man klistrar in och kör skriptet, vilket gör attacken både enkel och effektiv. En relaterad kampanj som distribuerar BOINC visar hur utbredd denna vilseledande teknik har blivit.
MintsLoaders sofistikerade infektionskedja
MintsLoaders attackkedja börjar med en bedräglig länk som levereras via skräppost. När den klickas laddar länken ned en förvirrad JavaScript-fil. Den här filen utlöser ett PowerShell-kommando för att ladda ner MintsLoader med curl, köra den och radera sig själv från systemet för att undvika upptäckt. I alternativa attackvägar omdirigeras användare till ClickFix-liknande sidor, där de återigen uppmanas att köra skript i Windows Run-prompten.
När MintsLoader väl har installerats, kontaktar en Command-and-Control-server (C2) för att ladda ner ytterligare nyttolaster. Dessa tillfälliga PowerShell-skript utför systemkontroller för att undvika sandlådor och andra analysverktyg. Laddaren innehåller också en Domain Generation Algorithm (DGA), som dynamiskt skapar C2-domännamn genom att lägga till den aktuella dagen i månaden till ett frövärde.
StealC: En kraftfull nyttolast med regionala undantag
Attackkampanjen kulminerar i utbyggnaden av StealC , en informationsstjälare som har marknadsförts som en del av Malware-as-a-Service (MaaS) ekosystem sedan början av 2023. StealC är troligen en omarbetad variant av Arkei Stealer , och har avancerad undvikande tekniker. En anmärkningsvärd egenskap är dess regionala inriktningskapacitet – den undviker att infektera system i Ryssland, Ukraina, Vitryssland, Kazakstan och Uzbekistan, vilket tyder på specifika motiv eller begränsningar som styr dess utveckling.
Stigande hot och användarvaksamhet
Upptäckten av MintsLoader och dess associerade kampanjer understryker den utvecklande sofistikeringen av cyberattacker som riktar sig mot kritiska industrier. Genom att utnyttja förtroende genom falska CAPTCHA-uppmaningar och utnyttja intrikata leveransmekanismer fortsätter angripare att förnya sina metoder. I takt med att hot som dessa blir mer avancerade förblir användarvaksamhet ett viktigt försvar mot att falla offer för dessa bedrägliga planer.
