Maliciozni softverski alat poznat kao MintsLoader koristi se za isporuku GhostWeaver, PowerShell-based trojanca za daljinski pristup, putem sofisticiranih phishing kampanja i ClickFix socijalnog inženjeringa, saopštila je istraživačka grupa Insikt Group iz kompanije Recorded Future.
Višestepena infekcija i izbegavanje detekcije
MintsLoader funkcioniše kroz višestepeni lanac infekcije koji uključuje:
- Obfuskirani JavaScript i PowerShell skripti
- Mehanizme za izbegavanje sandbox okruženja i virtuelnih mašina
- Korišćenje Domain Generation Algorithm (DGA) za prikriveno uspostavljanje veze sa C2 serverom
- HTTP komunikaciju za command-and-control (C2) poruke
Ove osobine omogućavaju malveru da oteža analizu i detekciju, čineći ga atraktivnim alatom za različite e-crime aktere, uključujući SocGholish (FakeUpdates) i LandUpdate808 (TAG-124).
ClickFix – Nova prijetnja u porastu
Nove varijante napada koriste sve popularniju tehniku ClickFix, kojom se žrtve navode da ručno kopiraju i izvršavaju JavaScript ili PowerShell kod sa lažnih stranica. Ove stranice se distribuiraju putem spam e-mailova, često prerušene kao:
- Lažna ažuriranja pretraživača
- Problemi sa prikazom sajta
- Bezbednosna upozorenja
GhostWeaver – Modularni trojanac sa TLS zaštitom
Nakon uspešne infekcije, MintsLoader preuzima GhostWeaver, malver koji:
- Održava stalnu komunikaciju sa C2 serverom
- Generiše DGA domene na osnovu nedelje i godine
- Isporučuje dodatne plugine koji kradu podatke iz pregledača i manipulišu HTML sadržajem
- Koristi TLS enkripciju i ugrađeni X.509 sertifikat za autentifikaciju prema C2 serveru
Dodatne kampanje i povezani malveri
Pored GhostWeaver-a, MintsLoader je viđen i u distribuciji:
- StealC – alat za krađu podataka
- Modifikovani BOINC klijent – potencijalno za zloupotrebu računarskih resursa
- Lumma Stealer – kroz povezanu kampanju CLEARFAKE, koja koristi MSHTA komande za preuzimanje malvera
Zaključak
MintsLoader i GhostWeaver predstavljaju sofisticiranu, modularnu pretnju sa naprednim tehnikama prikrivanja i širenja. ClickFix, kao nova forma socijalnog inženjeringa, dodatno povećava efikasnost ovih napada, pogotovo u sektorima kao što su industrija, energetika, i pravne usluge.
