MintsLoader Malware
Natuklasan ng mga mananaliksik sa cybersecurity ang isang aktibong campaign na gumagamit ng malware loader na kilala bilang MintsLoader. Ang banta na ito na nakabatay sa PowerShell ay ginamit upang ipamahagi ang mga pangalawang payload, kabilang ang StealC information stealer at isang lehitimong open-source na platform na tinatawag na BOINC. Naihatid sa pamamagitan ng mga spam na email, ang MintsLoader ay gumagamit ng mga link sa KongTuke o ClickFix na mga pahina o malisyosong JScript file upang makakuha ng access sa mga system ng mga biktima. Ang kampanya, na nakita noong unang bahagi ng Enero 2025, ay pangunahing naka-target sa mga kritikal na sektor gaya ng kuryente, langis at gas, at mga serbisyong legal sa United States at Europe.
Talaan ng mga Nilalaman
Mga Pekeng CAPTCHA Prompts: Isang Mapanlinlang na Entry Point
Sinasamantala ng campaign ang lumalagong trend sa mga mapaminsalang taktika, gaya ng pag-abuso sa pekeng CAPTCHA verification prompts. Nililinlang ng mga mapanlinlang na page na ito ang mga user na magsagawa ng mga nakompromisong PowerShell script sa pamamagitan ng pagpapanggap bilang nakagawiang pagsusuri ng tao sa pag-verify. Kilala bilang KongTuke at ClickFix techniques, ang mga pag-atakeng ito ay minamanipula ng mga hindi pinaghihinalaang user sa pamamagitan ng pag-inject ng mga nakakahamak na script sa kanilang mga copy/paste buffer. Pagkatapos ay inutusan ang mga biktima na i-paste at isagawa ang script sa window ng Windows Run, na kumpletuhin ang unang yugto ng paglusot ng mga umaatake.
Paano Nag-iniksyon ang KongTuke ng Mga Mapanlinlang na Script
Umaasa ang KongTuke sa isang mekanismo ng pag-iniksyon ng script na nagiging sanhi ng mga naka-target na website na magpakita ng mga pekeng pahinang 'patunayan na ikaw ay tao'. Kapag nakipag-ugnayan ang isang biktima sa mga page na ito, tahimik na nilo-load ang isang masamang PowerShell script sa kanilang clipboard. Nagbibigay ang page ng mga tahasang tagubilin kung paano i-paste at isagawa ang script, na ginagawang simple at epektibo ang pag-atake. Ang isang kaugnay na kampanya sa pamamahagi ng BOINC ay nagpapakita kung gaano kalawak ang mapanlinlang na pamamaraan na ito.
Ang Sopistikadong Infection Chain ng MintsLoader
Nagsisimula ang chain ng pag-atake ng MintsLoader sa isang mapanlinlang na link na inihatid sa pamamagitan ng mga spam na email. Kapag na-click, nagda-download ang link ng na-obfuscate na JavaScript file. Ang file na ito ay nagti-trigger ng isang PowerShell command upang i-download ang MintsLoader gamit ang curl, i-execute ito, at burahin ang sarili nito mula sa system upang maiwasan ang pag-detect. Sa mga alternatibong landas ng pag-atake, ang mga user ay nire-redirect sa mga pahinang istilong ClickFix, kung saan muli silang sinenyasan na magsagawa ng mga script sa prompt ng Windows Run.
Kapag na-deploy na, makikipag-ugnayan ang MintsLoader sa isang Command-and-Control (C2) server upang mag-download ng karagdagang mga payload. Ang mga pansamantalang PowerShell script na ito ay nagsasagawa ng mga pagsusuri sa system upang maiwasan ang mga sandbox at iba pang tool sa pagsusuri. Ang loader ay nagsasama rin ng isang Domain Generation Algorithm (DGA), na dynamic na gumagawa ng mga C2 domain name sa pamamagitan ng pagdaragdag ng kasalukuyang araw ng buwan sa isang seed value.
StealC: Isang Napakahusay na Payload na may mga Regional Exclusion
Ang kampanya ng pag-atake ay nagtatapos sa pag-deploy ng StealC , isang information stealer na na-market bilang bahagi ng Malware-as-a-Service (MaaS) ecosystem mula noong unang bahagi ng 2023. Malamang na isang re-engineered na variant ng Arkei Stealer , ipinagmamalaki ng StealC ang advanced mga diskarte sa pag-iwas. Ang isang kapansin-pansing feature ay ang mga kakayahan nito sa pag-target sa rehiyon—iniiwasan nito ang pag-impeksyon sa mga system na matatagpuan sa Russia, Ukraine, Belarus, Kazakhstan, at Uzbekistan, na nagmumungkahi ng mga partikular na motibo o mga hadlang na gumagabay sa pag-unlad nito.
Tumataas na Banta at Pag-iingat ng Gumagamit
Ang pagtuklas ng MintsLoader at ang mga nauugnay na kampanya nito ay binibigyang-diin ang umuusbong na pagiging sopistikado ng mga cyberattacks na nagta-target sa mga kritikal na industriya. Sa pamamagitan ng pagsasamantala sa tiwala sa pamamagitan ng mga pekeng CAPTCHA prompt at paggamit ng masalimuot na mekanismo ng paghahatid, patuloy na binabago ng mga umaatake ang kanilang mga pamamaraan. Habang lumalago ang mga banta na tulad nito, ang pagbabantay ng user ay nananatiling mahalagang depensa laban sa pagiging biktima ng mga mapanlinlang na pamamaraang ito.
