MintsLoader 惡意軟體
網路安全研究人員發現了一項利用名為 MintsLoader 的惡意軟體載入程式的活躍活動。這種基於 PowerShell 的威脅已被用來分發輔助有效負載,包括 StealC 資訊竊取程式和名為 BOINC 的合法開源平台。 MintsLoader 透過垃圾郵件發送,使用 KongTuke 或 ClickFix 頁面或惡意 JScript 檔案的連結來存取受害者的系統。該活動於 2025 年 1 月初發現,主要針對美國和歐洲的電力、石油和天然氣以及法律服務等關鍵產業。
目錄
假驗證碼提示:欺騙性入口點
該活動利用了日益增長的有害策略趨勢,例如濫用虛假的驗證碼驗證提示。這些欺騙性頁面透過冒充常規人工驗證檢查來誘騙使用者執行受損的 PowerShell 腳本。這些攻擊被稱為 KongTuke 和 ClickFix 技術,透過將惡意腳本注入複製/貼上緩衝區來操縱毫無戒心的用戶。然後,受害者被指示在 Windows 運行視窗中貼上並執行腳本,完成攻擊者滲透的第一階段。
KongTuke如何注入詐騙腳本
KongTuke 依賴腳本注入機制,該機制會導致目標網站顯示偽造的「驗證您是人類」頁面。當受害者與這些頁面互動時,惡意的 PowerShell 腳本會悄悄載入到他們的剪貼簿中。該頁面提供了有關如何貼上和執行腳本的明確說明,使攻擊既簡單又有效。分發 BOINC 的相關活動表明這種欺騙性技術已變得多麼普遍。
MintsLoader 複雜的感染鏈
MintsLoader 的攻擊鏈始於透過垃圾郵件發送的詐騙連結。點擊後,該連結會下載一個經過混淆的 JavaScript 檔案。該檔案會觸發 PowerShell 命令,使用curl 下載 MintsLoader,執行它,並從系統中刪除自身以避免檢測。在替代攻擊路徑中,使用者會被重新導向到 ClickFix 樣式的頁面,並再次提示他們在 Windows 執行提示中執行腳本。
部署後,MintsLoader 會聯絡命令與控制 (C2) 伺服器來下載更多有效負載。這些臨時 PowerShell 腳本執行系統檢查以逃避沙箱和其他分析工具。該載入程式還採用了網域產生演算法 (DGA),該演算法透過將當前日期新增至種子值來動態建立 C2 網域。
StealC:具有區域排除功能的強大有效負載
攻擊活動最終導致StealC的部署,這是一種資訊竊取程序,自 2023 年初以來一直作為惡意軟體即服務 (MaaS) 生態系統的一部分進行銷售。的技術規避技術。一個顯著的特徵是其區域定位能力——它避免感染位於俄羅斯、烏克蘭、白俄羅斯、哈薩克和烏茲別克的系統,這表明指導其發展的特定動機或限制。
威脅上升和用戶警惕
MintsLoader 及其相關活動的發現凸顯了針對關鍵產業的網路攻擊的日益複雜性。透過透過虛假的驗證碼提示來利用信任並利用複雜的傳遞機制,攻擊者不斷創新他們的方法。隨著此類威脅變得更加嚴重,用戶保持警惕仍然是防止成為這些欺騙性計劃受害者的重要防禦措施。
