Threat hunters su detaljno opisali tekuću kampanju koja koristi loader maliciozni softvera pod nazivom MintsLoader za distribuciju sekundarnog korisnog opterećenja kao što je StealC krađa informacija i legitimna mrežna računarska platforma otvorenog koda pod nazivom BOINC .
“MintsLoader je program za učitavanje malicioznog softvera baziran na PowerShell-u koji se isporučuje putem neželjene e-pošte s vezom do Kongtuke/ClickFix stranica ili JScript fajla”, rekla je firma eSentire za cyber sigurnost u analizi.
Kampanja je bila usmjerena na struju, naftu i plin, te sektore pravnih usluga u Sjedinjenim Državama i Evropi, prema kompaniji koja je otkrila aktivnost početkom januara 2025.
Razvoj dolazi usred naleta maliciozni kampanja koje iskorištavaju lažne upite CAPTCHA verifikacije da prevare korisnike da kopiraju i izvršavaju PowerShell skripte kako bi zaobišli provjere, tehnika koja je postala poznata ClickFix i KongTuke.
“KongTuke uključuje ubačenu skriptu koja trenutno uzrokuje da povezane web stranice prikazuju lažne stranice ‘verify you are human'”, navodi se u izvještaju Palo Alto Networks Unit 42 u kojem se detaljno opisuje slična kampanja koja distribuira BOINC.
“Ove lažne stranice za provjeru učitavaju bafer za kopiranje/paste Windows potencijalne žrtve sa malicioznom PowerShell skriptom. Stranica takođe daje detaljna uputstva tražeći od potencijalnih žrtava da zalijepe i izvrše skriptu u prozoru Run.”
Lanac napada dokumentovan od strane eSentire počinje kada korisnici kliknu na link u neželjenoj e-pošti, što dovodi do preuzimanja zamagljene JavaScript datoteke. Skripta je odgovorna za pokretanje PowerShell komande za preuzimanje MintsLoadera preko curl-a i njegovo izvršavanje, nakon čega se briše sa hosta kako bi izbjegao ostavljanje tragova.
Alternativni nizovi preusmjeravaju primaoce poruka na stranice u stilu ClickFix koje vode do isporuke MintsLoader-a pomoću Windows Run prompt-a.
Maliciozni softver za učitavanje, zauzvrat, kontakti servera za komandu i kontrolu (C2) kako bi dohvatio privremene PowerShell korisne podatke koji obavljaju različite provjere kako bi izbjegao sandboxove i odupro se naporima analize. Takođe sadrži algoritam generisanja domena (DGA) sa osnovnom vrednošću zasnovanom na dodavanju tekućeg dana u mesecu za kreiranje C2 imena domena.
Napad kulminira uvođenjem StealC-a, alata za krađu informacija koji se prodaje po modelu malware-as-a-service (MaaS) od početka 2023. godine. Procjenjuje se da je rekonstruiran od drugog malvera za krađu poznatog kao Arkei. Jedna od značajnih karakteristika malicioznog softvera je njegova sposobnost da izbjegne inficiranje mašina koje se nalaze u Rusiji, Ukrajini, Bjelorusiji, Kazahstanu ili Uzbekistanu.
Vijesti o kampanji MintsLoader takođe prate pojavu ažurirane verzije JinxLoadera nazvane Astolfo Loader (aka Jinx V3) koja je prepisana na C++ vjerovatno zbog performansi nakon što je njen izvorni kod prodao autor malicioznog softvera Rendnza dvama odvojenim kupcima. Delfin i AstolfoLoader.
“Dok @Delfin tvrdi da prodaje JinxLoaderV2 nepromijenjen, @AstolfoLoader se odlučio za rebrendiranje malvera i modifikovanje stuba u C++ (Jinx V3), umjesto da koristi originalni Go-kompajliran binarni program,” napomenuo je BlackBerry krajem prošle godine.
„Usluge poput JinxLoader-a i njegovog nasljednika, Astolfo Loader-a (Jinx V3), ilustruju kako se takvi alati mogu brzo i pristupačno razmnožavati i mogu se kupiti putem popularnih javnih hakerskih foruma koji su dostupni gotovo svakome tko ima internetsku vezu.”
Istraživači cyber sigurnosti takođe su rasvijetlili unutrašnje djelovanje kampanja malicioznog softvera GootLoader , za koje je poznato da oružuju trovanje optimizacijom pretraživača (SEO) kako bi preusmjerili žrtve koje traže sporazume i ugovore na kompromitovane WordPress stranice koje sadrže oglasnu ploču realističnog izgleda za preuzimanje. fajl koji sadrži ono što navodno traže.
Utvrđeno je da operateri malicioznog softvera prave promjene na WordPress stranicama koje uzrokuju da te stranice dinamički učitavaju lažni sadržaj stranice foruma sa drugog servera, koji Sophos naziva “matični brod”.
GootLoader kampanje, osim što geografiraju raspon IP adresa i omogućavaju da zahtjevi potiču iz određenih zemalja od interesa, idu dalje tako što dozvoljavaju potencijalnoj žrtvi da posjeti zaraženu stranicu samo jednom u 24 sata dodavanjem IP adrese na listu blokiranja.
“Svaki aspekt ovog procesa je zamagljen do tog stepena da čak i vlasnici kompromitovanih WordPress stranica često ne mogu idefikovati izmjene na vlastitoj web lokaciji ili pokrenuti GootLoader kod da se pokrene kada posjećuju svoje stranice”, rekao je istraživač sigurnosti Gabor Szappanos .
Izvor:The Hacker News
