มัลแวร์ MintsLoader

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญที่ใช้งานอยู่ซึ่งใช้ตัวโหลดมัลแวร์ที่รู้จักกันในชื่อ MintsLoader ภัยคุกคามที่ใช้ PowerShell นี้ถูกใช้เพื่อแจกจ่ายเพย์โหลดรอง รวมถึงตัวขโมยข้อมูล StealC และแพลตฟอร์มโอเพ่นซอร์สที่ถูกต้องตามกฎหมายที่เรียกว่า BOINC MintsLoader ซึ่งส่งผ่านอีเมลขยะจะใช้ลิงก์ไปยังหน้า KongTuke หรือ ClickFix หรือไฟล์ JScript ที่เป็นอันตรายเพื่อเข้าถึงระบบของเหยื่อ แคมเปญดังกล่าวซึ่งตรวจพบในช่วงต้นเดือนมกราคม 2025 มีเป้าหมายหลักคือภาคส่วนที่สำคัญ เช่น ไฟฟ้า น้ำมันและก๊าซ และบริการทางกฎหมายในสหรัฐอเมริกาและยุโรป

ข้อความแจ้งเตือน CAPTCHA ปลอม: จุดเข้าที่หลอกลวง

แคมเปญนี้ใช้ประโยชน์จากแนวโน้มที่เพิ่มขึ้นในการใช้กลวิธีที่เป็นอันตราย เช่น การใช้ข้อความยืนยัน CAPTCHA ปลอม หน้าเว็บหลอกลวงเหล่านี้หลอกล่อผู้ใช้ให้ดำเนินการสคริปต์ PowerShell ที่ถูกบุกรุกโดยแสร้งทำเป็นการตรวจสอบยืนยันตัวตนตามปกติ เทคนิคที่เรียกว่า KongTuke และ ClickFix การโจมตีเหล่านี้หลอกล่อผู้ใช้ที่ไม่สงสัยโดยฉีดสคริปต์ที่เป็นอันตรายลงในบัฟเฟอร์คัดลอก/วาง จากนั้นเหยื่อจะได้รับคำสั่งให้วางและดำเนินการสคริปต์ในหน้าต่าง Run ของ Windows ซึ่งเป็นการเสร็จสิ้นขั้นตอนแรกของการแทรกซึมของผู้โจมตี

KongTuke แทรกสคริปต์หลอกลวงได้อย่างไร

KongTuke อาศัยกลไกการแทรกสคริปต์ที่ทำให้เว็บไซต์เป้าหมายแสดงหน้า "ยืนยันว่าคุณเป็นมนุษย์" ปลอม เมื่อเหยื่อโต้ตอบกับหน้าเหล่านี้ สคริปต์ PowerShell ที่เป็นอันตรายจะถูกโหลดลงในคลิปบอร์ดของเหยื่อโดยไม่แจ้งให้ทราบ หน้าดังกล่าวมีคำแนะนำที่ชัดเจนเกี่ยวกับวิธีการวางและเรียกใช้สคริปต์ ทำให้การโจมตีทั้งเรียบง่ายและมีประสิทธิภาพ แคมเปญที่เกี่ยวข้องที่เผยแพร่ BOINC แสดงให้เห็นว่าเทคนิคหลอกลวงนี้แพร่หลายเพียงใด

ห่วงโซ่การติดเชื้ออันซับซ้อนของ MintsLoader

การโจมตีของ MintsLoader เริ่มต้นด้วยลิงก์หลอกลวงที่ส่งมาทางอีเมลขยะ เมื่อคลิกลิงก์ดังกล่าว ลิงก์ดังกล่าวจะดาวน์โหลดไฟล์ JavaScript ที่ถูกบดบัง ไฟล์นี้จะทริกเกอร์คำสั่ง PowerShell เพื่อดาวน์โหลด MintsLoader โดยใช้ curl จากนั้นจึงเรียกใช้งาน และลบตัวเองออกจากระบบเพื่อหลีกเลี่ยงการตรวจจับ ในเส้นทางการโจมตีทางเลือก ผู้ใช้จะถูกเปลี่ยนเส้นทางไปยังหน้าแบบ ClickFix ซึ่งจะได้รับคำเตือนให้เรียกใช้สคริปต์ในพรอมต์ Run ของ Windows อีกครั้ง

เมื่อใช้งานแล้ว MintsLoader จะติดต่อกับเซิร์ฟเวอร์ Command-and-Control (C2) เพื่อดาวน์โหลดเพย์โหลดเพิ่มเติม สคริปต์ PowerShell ชั่วคราวเหล่านี้จะทำการตรวจสอบระบบเพื่อหลีกเลี่ยงแซนด์บ็อกซ์และเครื่องมือวิเคราะห์อื่นๆ นอกจากนี้ ตัวโหลดยังรวมเอาอัลกอริธึมการสร้างโดเมน (Domain Generation Algorithm หรือ DGA) ไว้ด้วย ซึ่งจะสร้างชื่อโดเมน C2 แบบไดนามิกโดยการเพิ่มวันที่ปัจจุบันของเดือนลงในค่าเริ่มต้น

StealC: เพย์โหลดอันทรงพลังพร้อมการยกเว้นตามภูมิภาค

แคมเปญการโจมตีสิ้นสุดลงด้วยการใช้ StealC ซึ่งเป็นโปรแกรมขโมยข้อมูลที่มีการทำตลาดเป็นส่วนหนึ่งของระบบนิเวศ Malware-as-a-Service (MaaS) ตั้งแต่ต้นปี 2023 StealC น่าจะเป็นโปรแกรม Arkei Stealer ที่ออกแบบใหม่ ซึ่งมีเทคนิคการหลบเลี่ยงขั้นสูง คุณสมบัติที่โดดเด่นอย่างหนึ่งคือความสามารถในการกำหนดเป้าหมายตามภูมิภาค โดยสามารถหลีกเลี่ยงการติดไวรัสในระบบที่ตั้งอยู่ในรัสเซีย ยูเครน เบลารุส คาซัคสถาน และอุซเบกิสถาน ซึ่งบ่งบอกถึงแรงจูงใจหรือข้อจำกัดเฉพาะที่ชี้นำการพัฒนา

ภัยคุกคามที่เพิ่มขึ้นและการเฝ้าระวังของผู้ใช้

การค้นพบ MintsLoader และแคมเปญที่เกี่ยวข้องเน้นย้ำถึงความซับซ้อนที่พัฒนาขึ้นของการโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่อุตสาหกรรมที่สำคัญ ผู้โจมตียังคงคิดค้นวิธีการใหม่ๆ อย่างต่อเนื่องโดยการใช้ประโยชน์จากความน่าเชื่อถือผ่านการแจ้งเตือน CAPTCHA ปลอมและใช้ประโยชน์จากกลไกการส่งมอบที่ซับซ้อน ในขณะที่ภัยคุกคามประเภทนี้มีความก้าวหน้ามากขึ้น การเฝ้าระวังของผู้ใช้ยังคงเป็นแนวป้องกันที่สำคัญในการป้องกันไม่ให้ตกเป็นเหยื่อของแผนการหลอกลวงเหล่านี้