Phần mềm độc hại MintsLoader

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch đang hoạt động tận dụng trình tải phần mềm độc hại được gọi là MintsLoader. Mối đe dọa dựa trên PowerShell này đã được sử dụng để phân phối các tải trọng thứ cấp, bao gồm trình đánh cắp thông tin StealC và một nền tảng nguồn mở hợp pháp có tên là BOINC. Được phân phối qua email rác, MintsLoader sử dụng các liên kết đến các trang KongTuke hoặc ClickFix hoặc các tệp JScript độc hại để truy cập vào hệ thống của nạn nhân. Chiến dịch này, được phát hiện vào đầu tháng 1 năm 2025, chủ yếu nhắm vào các lĩnh vực quan trọng như điện, dầu khí và dịch vụ pháp lý tại Hoa Kỳ và Châu Âu.

Yêu cầu CAPTCHA giả: Điểm vào lừa đảo

Chiến dịch này khai thác xu hướng ngày càng tăng trong các chiến thuật có hại, chẳng hạn như lạm dụng lời nhắc xác minh CAPTCHA giả. Các trang lừa đảo này lừa người dùng thực thi các tập lệnh PowerShell bị xâm phạm bằng cách đóng giả là các lần kiểm tra xác minh của con người thông thường. Được gọi là các kỹ thuật KongTuke và ClickFix, các cuộc tấn công này thao túng người dùng không nghi ngờ bằng cách đưa các tập lệnh độc hại vào bộ đệm sao chép/dán của họ. Sau đó, nạn nhân được hướng dẫn dán và thực thi tập lệnh trong cửa sổ Chạy Windows, hoàn thành giai đoạn xâm nhập đầu tiên của kẻ tấn công.

KongTuke tiêm mã độc gian lận như thế nào

KongTuke dựa vào cơ chế tiêm mã lệnh khiến các trang web mục tiêu hiển thị các trang 'xác minh bạn là người' giả mạo. Khi nạn nhân tương tác với các trang này, một mã lệnh PowerShell độc hại sẽ được tải âm thầm vào bảng tạm của họ. Trang này cung cấp hướng dẫn rõ ràng về cách dán và thực thi mã lệnh, giúp cuộc tấn công trở nên đơn giản và hiệu quả. Một chiến dịch liên quan phân phối BOINC cho thấy kỹ thuật lừa đảo này đã trở nên phổ biến như thế nào.

Chuỗi lây nhiễm tinh vi của MintsLoader

Chuỗi tấn công của MintsLoader bắt đầu bằng một liên kết gian lận được gửi qua email spam. Khi nhấp vào, liên kết sẽ tải xuống một tệp JavaScript bị che giấu. Tệp này kích hoạt lệnh PowerShell để tải xuống MintsLoader bằng curl, thực thi nó và xóa chính nó khỏi hệ thống để tránh bị phát hiện. Trong các đường dẫn tấn công thay thế, người dùng được chuyển hướng đến các trang theo kiểu ClickFix, tại đó họ lại được nhắc thực thi các tập lệnh trong dấu nhắc Run của Windows.

Sau khi triển khai, MintsLoader sẽ liên hệ với máy chủ Command-and-Control (C2) để tải xuống các tải trọng tiếp theo. Các tập lệnh PowerShell tạm thời này thực hiện kiểm tra hệ thống để tránh hộp cát và các công cụ phân tích khác. Bộ tải cũng kết hợp Thuật toán tạo tên miền (DGA), thuật toán này sẽ tạo tên miền C2 một cách động bằng cách thêm ngày hiện tại của tháng vào giá trị hạt giống.

StealC: Một tải trọng mạnh mẽ với các loại trừ khu vực

Chiến dịch tấn công lên đến đỉnh điểm khi triển khai StealC , một công cụ đánh cắp thông tin đã được tiếp thị như một phần của hệ sinh thái Malware-as-a-Service (MaaS) kể từ đầu năm 2023. Có khả năng là một biến thể được thiết kế lại của Arkei Stealer , StealC tự hào có các kỹ thuật né tránh tiên tiến. Một tính năng đáng chú ý là khả năng nhắm mục tiêu theo khu vực của nó—nó tránh lây nhiễm các hệ thống nằm ở Nga, Ukraine, Belarus, Kazakhstan và Uzbekistan, cho thấy động cơ hoặc hạn chế cụ thể hướng dẫn quá trình phát triển của nó.

Mối đe dọa gia tăng và sự cảnh giác của người dùng

Việc phát hiện ra MintsLoader và các chiến dịch liên quan nhấn mạnh sự tinh vi ngày càng tăng của các cuộc tấn công mạng nhắm vào các ngành công nghiệp quan trọng. Bằng cách khai thác lòng tin thông qua các lời nhắc CAPTCHA giả mạo và tận dụng các cơ chế phân phối phức tạp, những kẻ tấn công tiếp tục đổi mới phương pháp của chúng. Khi các mối đe dọa như thế này ngày càng tinh vi hơn, sự cảnh giác của người dùng vẫn là biện pháp phòng thủ quan trọng để không trở thành nạn nhân của các âm mưu lừa đảo này.