MintsLoader 恶意软件
网络安全研究人员发现了一个利用名为 MintsLoader 的恶意软件加载程序的活跃活动。这种基于 PowerShell 的威胁已被用于分发次要负载,包括 StealC 信息窃取程序和名为 BOINC 的合法开源平台。MintsLoader 通过垃圾邮件发送,使用指向 KongTuke 或 ClickFix 页面的链接或恶意 JScript 文件来访问受害者的系统。该活动于 2025 年 1 月初被发现,主要针对美国和欧洲的电力、石油和天然气以及法律服务等关键行业。
目录
虚假 CAPTCHA 提示:一个欺骗性的入口点
该活动利用了一种日益流行的有害策略,例如滥用虚假的 CAPTCHA 验证提示。这些欺骗性页面伪装成常规人工验证检查,诱骗用户执行受感染的 PowerShell 脚本。这些攻击被称为 KongTuke 和 ClickFix 技术,它们通过将恶意脚本注入用户的复制/粘贴缓冲区来操纵毫无戒心的用户。然后,受害者被指示在 Windows 运行窗口中粘贴并执行脚本,从而完成攻击者渗透的第一阶段。
KongTuke 如何注入欺诈脚本
KongTuke 依靠脚本注入机制,使目标网站显示伪造的“验证您是人类”页面。当受害者与这些页面交互时,恶意的 PowerShell 脚本会悄悄加载到他们的剪贴板中。该页面提供了有关如何粘贴和执行脚本的明确说明,使攻击既简单又有效。分发 BOINC 的相关活动表明这种欺骗技术已经变得多么普遍。
MintsLoader 的复杂感染链
MintsLoader 的攻击链始于通过垃圾邮件发送的欺诈链接。点击后,该链接会下载一个经过混淆的 JavaScript 文件。此文件会触发 PowerShell 命令,使用 curl 下载 MintsLoader、执行它并从系统中清除自身以避免被发现。在其他攻击路径中,用户会被重定向到 ClickFix 样式的页面,在那里他们再次被提示在 Windows 运行提示符中执行脚本。
部署后,MintsLoader 会联系命令和控制 (C2) 服务器以下载更多有效载荷。这些临时 PowerShell 脚本会执行系统检查以避开沙箱和其他分析工具。加载器还集成了域生成算法 (DGA),该算法通过将当前月份日期添加到种子值来动态创建 C2 域名。
StealC:具有区域排除功能的强大负载
此次攻击活动最终部署了StealC ,这是一种信息窃取程序,自 2023 年初以来一直作为恶意软件即服务 (MaaS) 生态系统的一部分进行营销。StealC 可能是Arkei Stealer的重新设计版本,拥有先进的规避技术。一个值得注意的特点是它的区域定位能力——它避免感染位于俄罗斯、乌克兰、白俄罗斯、哈萨克斯坦和乌兹别克斯坦的系统,这表明其开发有特定的动机或限制。
威胁不断增加,用户警惕性不断提高
MintsLoader 及其相关活动的发现凸显了针对关键行业的网络攻击日益复杂的趋势。通过利用虚假的 CAPTCHA 提示来利用信任并利用复杂的交付机制,攻击者不断创新其方法。随着此类威胁变得越来越先进,用户保持警惕仍然是防止成为这些欺骗性计划受害者的重要防御措施。
