MintsLoader koristi ClickFix i DGA za isporuku GhostWeaver trojanca u prikrivenim phishing napadima

Damjan

2 months ago

MintsLoader koristi ClickFix i DGA za isporuku GhostWeaver trojanca u prikrivenim phishing napadima-Kiber.ba

Maliciozni softverski alat poznat kao MintsLoader koristi se za isporuku GhostWeaver, PowerShell-based trojanca za daljinski pristup, putem sofisticiranih phishing kampanja i ClickFix socijalnog inženjeringa, saopštila je istraživačka grupa Insikt Group iz kompanije Recorded Future.

Višestepena infekcija i izbegavanje detekcije

MintsLoader funkcioniše kroz višestepeni lanac infekcije koji uključuje:

Obfuskirani JavaScript i PowerShell skripti
Mehanizme za izbegavanje sandbox okruženja i virtuelnih mašina
Korišćenje Domain Generation Algorithm (DGA) za prikriveno uspostavljanje veze sa C2 serverom
HTTP komunikaciju za command-and-control (C2) poruke

Ove osobine omogućavaju malveru da oteža analizu i detekciju, čineći ga atraktivnim alatom za različite e-crime aktere, uključujući SocGholish (FakeUpdates) i LandUpdate808 (TAG-124).

ClickFix – Nova prijetnja u porastu

Nove varijante napada koriste sve popularniju tehniku ClickFix, kojom se žrtve navode da ručno kopiraju i izvršavaju JavaScript ili PowerShell kod sa lažnih stranica. Ove stranice se distribuiraju putem spam e-mailova, često prerušene kao:

Lažna ažuriranja pretraživača
Problemi sa prikazom sajta
Bezbednosna upozorenja

GhostWeaver – Modularni trojanac sa TLS zaštitom

Nakon uspešne infekcije, MintsLoader preuzima GhostWeaver, malver koji:

Održava stalnu komunikaciju sa C2 serverom
Generiše DGA domene na osnovu nedelje i godine
Isporučuje dodatne plugine koji kradu podatke iz pregledača i manipulišu HTML sadržajem
Koristi TLS enkripciju i ugrađeni X.509 sertifikat za autentifikaciju prema C2 serveru

Dodatne kampanje i povezani malveri

Pored GhostWeaver-a, MintsLoader je viđen i u distribuciji:

StealC – alat za krađu podataka
Modifikovani BOINC klijent – potencijalno za zloupotrebu računarskih resursa
Lumma Stealer – kroz povezanu kampanju CLEARFAKE, koja koristi MSHTA komande za preuzimanje malvera

Zaključak

MintsLoader i GhostWeaver predstavljaju sofisticiranu, modularnu pretnju sa naprednim tehnikama prikrivanja i širenja. ClickFix, kao nova forma socijalnog inženjeringa, dodatno povećava efikasnost ovih napada, pogotovo u sektorima kao što su industrija, energetika, i pravne usluge.