MintsLoader Kötü Amaçlı Yazılım
Siber güvenlik araştırmacıları, MintsLoader olarak bilinen bir kötü amaçlı yazılım yükleyicisini kullanan aktif bir kampanyayı ortaya çıkardı. Bu PowerShell tabanlı tehdit, StealC bilgi hırsızı ve BOINC adlı meşru bir açık kaynaklı platform da dahil olmak üzere ikincil yükleri dağıtmak için kullanıldı. Spam e-postalar aracılığıyla iletilen MintsLoader, kurbanların sistemlerine erişmek için KongTuke veya ClickFix sayfalarına veya kötü amaçlı JScript dosyalarına bağlantılar kullanır. Ocak 2025'in başlarında tespit edilen kampanya, öncelikle ABD ve Avrupa'daki elektrik, petrol ve gaz ve hukuk hizmetleri gibi kritik sektörleri hedef aldı.
İçindekiler
Sahte CAPTCHA İstemleri: Aldatıcı Bir Giriş Noktası
Kampanya, sahte CAPTCHA doğrulama istemlerini kötüye kullanma gibi zararlı taktiklerdeki artan bir eğilimi istismar ediyor. Bu aldatıcı sayfalar, rutin insan doğrulama kontrolleri gibi davranarak kullanıcıları tehlikeye atılmış PowerShell betiklerini yürütmeye kandırıyor. KongTuke ve ClickFix teknikleri olarak bilinen bu saldırılar, kötü amaçlı betikleri kopyala/yapıştır tamponlarına enjekte ederek şüphelenmeyen kullanıcıları manipüle ediyor. Daha sonra kurbanlara betiği Windows Çalıştır penceresine yapıştırmaları ve yürütmeleri talimatı veriliyor ve saldırganların ilk sızma aşaması tamamlanıyor.
KongTuke Sahte Komut Dosyalarını Nasıl Enjekte Ediyor
KongTuke, hedeflenen web sitelerinin sahte 'insan olduğunuzu doğrulayın' sayfaları görüntülemesine neden olan bir betik enjeksiyon mekanizmasına dayanır. Bir kurban bu sayfalarla etkileşime girdiğinde, kötü niyetli bir PowerShell betiği sessizce panolarına yüklenir. Sayfa, betiğin nasıl yapıştırılacağı ve yürütüleceği konusunda açık talimatlar sağlar ve bu da saldırıyı hem basit hem de etkili hale getirir. BOINC'i dağıtan ilgili bir kampanya, bu aldatıcı tekniğin ne kadar yaygınlaştığını göstermektedir.
MintsLoader’ın Karmaşık Enfeksiyon Zinciri
MintsLoader'ın saldırı zinciri, spam e-postaları aracılığıyla iletilen sahte bir bağlantıyla başlar. Tıklandığında, bağlantı gizlenmiş bir JavaScript dosyası indirir. Bu dosya, curl kullanarak MintsLoader'ı indirmek, yürütmek ve tespit edilmekten kaçınmak için kendini sistemden silmek için bir PowerShell komutunu tetikler. Alternatif saldırı yollarında, kullanıcılar ClickFix tarzı sayfalara yönlendirilir ve burada Windows Çalıştır isteminde komut dosyalarını yürütmeleri için tekrar yönlendirilirler.
Dağıtıldıktan sonra MintsLoader, daha fazla yük indirmek için bir Komuta ve Kontrol (C2) sunucusuyla iletişim kurar. Bu geçici PowerShell betikleri, deneme ortamlarından ve diğer analiz araçlarından kaçınmak için sistem kontrolleri gerçekleştirir. Yükleyici ayrıca, geçerli ayın gününü bir tohum değerine ekleyerek dinamik olarak C2 etki alanı adları oluşturan bir Etki Alanı Oluşturma Algoritması (DGA) içerir.
StealC: Bölgesel Hariç Tutmalara Sahip Güçlü Bir Yük
Saldırı kampanyası, 2023'ün başından beri Malware-as-a-Service (MaaS) ekosisteminin bir parçası olarak pazarlanan bir bilgi hırsızı olan StealC'nin konuşlandırılmasıyla doruk noktasına ulaşıyor. Muhtemelen Arkei Stealer'ın yeniden tasarlanmış bir çeşidi olan StealC, gelişmiş kaçınma tekniklerine sahip. Dikkat çekici bir özelliği, bölgesel hedefleme yetenekleridir; Rusya, Ukrayna, Belarus, Kazakistan ve Özbekistan'da bulunan sistemleri enfekte etmekten kaçınır ve bu da gelişimini yönlendiren belirli sebepleri veya kısıtlamaları düşündürür.
Artan Tehditler ve Kullanıcı Dikkatliliği
MintsLoader ve ilişkili kampanyalarının keşfi, kritik endüstrileri hedef alan siber saldırıların giderek karmaşıklaştığını gösteriyor. Sahte CAPTCHA istemleri aracılığıyla güveni istismar ederek ve karmaşık teslimat mekanizmalarından yararlanarak saldırganlar yöntemlerini yenilemeye devam ediyor. Bu tür tehditler daha da geliştikçe, kullanıcı uyanıklığı bu aldatıcı planlara kurban gitmeye karşı hayati bir savunma olmaya devam ediyor.
