MintsLoader-Malware
Cybersicherheitsforscher haben eine aktive Kampagne aufgedeckt, die einen Malware-Loader namens MintsLoader nutzt. Diese auf PowerShell basierende Bedrohung wurde verwendet, um sekundäre Payloads zu verteilen, darunter den Informationsdieb StealC und eine legitime Open-Source-Plattform namens BOINC. MintsLoader wird über Spam-E-Mails verbreitet und verwendet Links zu KongTuke- oder ClickFix-Seiten oder bösartige JScript-Dateien, um Zugriff auf die Systeme der Opfer zu erhalten. Die Kampagne, die Anfang Januar 2025 entdeckt wurde, zielte in erster Linie auf kritische Sektoren wie Elektrizität, Öl und Gas sowie Rechtsdienstleistungen in den Vereinigten Staaten und Europa ab.
Inhaltsverzeichnis
Gefälschte CAPTCHA-Eingabeaufforderungen: Ein irreführender Einstiegspunkt
Die Kampagne nutzt einen wachsenden Trend zu schädlichen Taktiken, wie etwa den Missbrauch gefälschter CAPTCHA-Verifizierungsaufforderungen. Diese betrügerischen Seiten verleiten Benutzer dazu, kompromittierte PowerShell-Skripte auszuführen, indem sie sich als routinemäßige menschliche Überprüfungsprüfungen ausgeben. Diese als KongTuke- und ClickFix-Techniken bekannten Angriffe manipulieren ahnungslose Benutzer, indem sie bösartige Skripte in ihre Copy/Paste-Puffer einschleusen. Die Opfer werden dann angewiesen, das Skript in das Windows-Ausführen-Fenster einzufügen und auszuführen, womit die erste Infiltrationsphase der Angreifer abgeschlossen ist.
Wie KongTuke betrügerische Skripte einschleust
KongTuke basiert auf einem Skript-Injektionsmechanismus, der dazu führt, dass die Zielwebsites gefälschte „Bestätigen Sie, dass Sie ein Mensch sind“-Seiten anzeigen. Wenn ein Opfer mit diesen Seiten interagiert, wird stillschweigend ein bösartiges PowerShell-Skript in die Zwischenablage geladen. Die Seite enthält explizite Anweisungen zum Einfügen und Ausführen des Skripts, was den Angriff sowohl einfach als auch effektiv macht. Eine verwandte Kampagne zur Verbreitung von BOINC zeigt, wie weit verbreitet diese betrügerische Technik geworden ist.
Die ausgeklügelte Infektionskette von MintsLoader
Die Angriffskette von MintsLoader beginnt mit einem betrügerischen Link, der über Spam-E-Mails übermittelt wird. Beim Anklicken lädt der Link eine verschleierte JavaScript-Datei herunter. Diese Datei löst einen PowerShell-Befehl aus, um MintsLoader mithilfe von curl herunterzuladen, auszuführen und sich selbst aus dem System zu löschen, um eine Erkennung zu vermeiden. Bei alternativen Angriffspfaden werden Benutzer auf Seiten im ClickFix-Stil umgeleitet, wo sie erneut aufgefordert werden, Skripts in der Windows-Ausführen-Eingabeaufforderung auszuführen.
Nach der Bereitstellung kontaktiert MintsLoader einen Command-and-Control-Server (C2), um weitere Payloads herunterzuladen. Diese vorläufigen PowerShell-Skripte führen Systemprüfungen durch, um Sandboxen und andere Analysetools zu umgehen. Der Loader enthält außerdem einen Domain Generation Algorithm (DGA), der dynamisch C2-Domänennamen erstellt, indem er einem Startwert den aktuellen Tag des Monats hinzufügt.
StealC: Eine leistungsstarke Nutzlast mit regionalen Ausschlüssen
Die Angriffskampagne gipfelt in der Bereitstellung von StealC , einem Informationsdieb, der seit Anfang 2023 als Teil des Malware-as-a-Service (MaaS)-Ökosystems vermarktet wird. StealC ist wahrscheinlich eine überarbeitete Variante des Arkei Stealer und verfügt über fortschrittliche Ausweichtechniken. Ein bemerkenswertes Merkmal sind seine regionalen Zielfähigkeiten – er vermeidet die Infektion von Systemen in Russland, der Ukraine, Weißrussland, Kasachstan und Usbekistan, was darauf hindeutet, dass seine Entwicklung auf bestimmten Motiven oder Einschränkungen beruht.
Zunehmende Bedrohungen und Wachsamkeit der Benutzer
Die Entdeckung von MintsLoader und den damit verbundenen Kampagnen unterstreicht die zunehmende Raffinesse von Cyberangriffen auf kritische Branchen. Indem sie Vertrauen durch gefälschte CAPTCHA-Aufforderungen ausnutzen und komplizierte Übermittlungsmechanismen nutzen, entwickeln Angreifer ihre Methoden ständig weiter. Da Bedrohungen wie diese immer ausgefeilter werden, bleibt die Wachsamkeit der Benutzer eine wichtige Verteidigungsmaßnahme, um nicht Opfer dieser betrügerischen Machenschaften zu werden.
