Шкідливе програмне забезпечення MintsLoader
Дослідники з кібербезпеки виявили активну кампанію, яка використовує завантажувач шкідливих програм, відомий як MintsLoader. Цю загрозу на основі PowerShell використовували для розповсюдження вторинного корисного навантаження, включаючи викрадач інформації StealC і законну платформу з відкритим кодом під назвою BOINC. Доставляючись через спам, MintsLoader використовує посилання на сторінки KongTuke або ClickFix або шкідливі файли JScript, щоб отримати доступ до систем жертв. Кампанія, зафіксована на початку січня 2025 року, націлена в першу чергу на критичні сектори, такі як електроенергетика, нафта і газ, а також юридичні послуги в Сполучених Штатах і Європі.
Зміст
Фальшиві підказки CAPTCHA: оманлива точка входу
Кампанія використовує зростаючу тенденцію до шкідливих тактик, таких як зловживання фальшивими запитами перевірки CAPTCHA. Ці оманливі сторінки обманом змушують користувачів виконувати скомпрометовані сценарії PowerShell, видаючи за звичайні перевірки людиною. Ці атаки, відомі як методи KongTuke і ClickFix, маніпулюють користувачами, які нічого не підозрюють, вставляючи шкідливі сценарії в їхні буфери копіювання/вставлення. Потім жертви отримують інструкцію вставити та виконати сценарій у вікні запуску Windows, завершуючи перший етап проникнення зловмисників.
Як KongTuke впроваджує шахрайські сценарії
KongTuke покладається на механізм ін’єкції сценарію, який спонукає цільові веб-сайти відображати підроблені сторінки підтвердження того, що ви людина. Коли жертва взаємодіє з цими сторінками, зловмисний сценарій PowerShell мовчки завантажується в її буфер обміну. Сторінка містить чіткі інструкції щодо того, як вставити та виконати сценарій, що робить атаку простою та ефективною. Пов’язана кампанія з розповсюдження BOINC демонструє, наскільки поширеною стала ця оманлива техніка.
Складний ланцюжок зараження MintsLoader
Ланцюжок атак MintsLoader починається з шахрайського посилання, яке доставляється через спам. Після натискання посилання завантажує обфускований файл JavaScript. Цей файл запускає команду PowerShell для завантаження MintsLoader за допомогою curl, виконання його та видалення з системи, щоб уникнути виявлення. В альтернативних шляхах атаки користувачі перенаправляються на сторінки у стилі ClickFix, де їм знову пропонується виконати сценарії у вікні Windows Run.
Після розгортання MintsLoader зв’язується з сервером командування та керування (C2) для завантаження подальших корисних даних. Ці проміжні сценарії PowerShell виконують перевірки системи, щоб уникнути пісочниці та інших інструментів аналізу. Завантажувач також містить алгоритм генерації домену (DGA), який динамічно створює доменні імена C2 шляхом додавання поточного дня місяця до початкового значення.
StealC: потужне корисне навантаження з регіональними винятками
Кульмінацією атаки стала розгортання StealC , викрадача інформації, який продається як частина екосистеми Malware-as-a-Service (MaaS) з початку 2023 року. Ймовірно, це оновлений варіант Arkei Stealer , StealC може похвалитися вдосконаленими можливостями. прийоми ухилення. Однією з важливих особливостей є його можливості регіонального націлювання — він уникає зараження систем, розташованих у Росії, Україні, Білорусі, Казахстані та Узбекистані, припускаючи конкретні мотиви чи обмеження, що керують його розробкою.
Зростання загроз і пильність користувачів
Відкриття MintsLoader і пов’язаних з ним кампаній підкреслює розвиток складності кібератак, націлених на критично важливі галузі. Використовуючи довіру через фальшиві підказки CAPTCHA та використовуючи складні механізми доставки, зловмисники продовжують удосконалювати свої методи. Оскільки подібні загрози стають все більш прогресивними, пильність користувачів залишається життєво важливим захистом від того, щоб стати жертвою цих шахрайських схем.
