MintsLoader koristi ClickFix i DGA za isporuku GhostWeaver trojanca u prikrivenim phishing napadima

By Damjan
Novosti

Maliciozni softverski alat poznat kao MintsLoader koristi se za isporuku GhostWeaver, PowerShell-based trojanca za daljinski pristup, putem sofisticiranih phishing kampanja i ClickFix socijalnog inženjeringa, saopštila je istraživačka grupa Insikt Group iz kompanije Recorded Future.

Višestepena infekcija i izbegavanje detekcije

MintsLoader funkcioniše kroz višestepeni lanac infekcije koji uključuje:

  • Obfuskirani JavaScript i PowerShell skripti
  • Mehanizme za izbegavanje sandbox okruženja i virtuelnih mašina
  • Korišćenje Domain Generation Algorithm (DGA) za prikriveno uspostavljanje veze sa C2 serverom
  • HTTP komunikaciju za command-and-control (C2) poruke

Ove osobine omogućavaju malveru da oteža analizu i detekciju, čineći ga atraktivnim alatom za različite e-crime aktere, uključujući SocGholish (FakeUpdates) i LandUpdate808 (TAG-124).

ClickFix – Nova prijetnja u porastu

Nove varijante napada koriste sve popularniju tehniku ClickFix, kojom se žrtve navode da ručno kopiraju i izvršavaju JavaScript ili PowerShell kod sa lažnih stranica. Ove stranice se distribuiraju putem spam e-mailova, često prerušene kao:

  • Lažna ažuriranja pretraživača
  • Problemi sa prikazom sajta
  • Bezbednosna upozorenja

GhostWeaver – Modularni trojanac sa TLS zaštitom

Nakon uspešne infekcije, MintsLoader preuzima GhostWeaver, malver koji:

  • Održava stalnu komunikaciju sa C2 serverom
  • Generiše DGA domene na osnovu nedelje i godine
  • Isporučuje dodatne plugine koji kradu podatke iz pregledača i manipulišu HTML sadržajem
  • Koristi TLS enkripciju i ugrađeni X.509 sertifikat za autentifikaciju prema C2 serveru

Dodatne kampanje i povezani malveri

Pored GhostWeaver-a, MintsLoader je viđen i u distribuciji:

  • StealC – alat za krađu podataka
  • Modifikovani BOINC klijent – potencijalno za zloupotrebu računarskih resursa
  • Lumma Stealer – kroz povezanu kampanju CLEARFAKE, koja koristi MSHTA komande za preuzimanje malvera

Zaključak


MintsLoader i GhostWeaver predstavljaju sofisticiranu, modularnu pretnju sa naprednim tehnikama prikrivanja i širenja. ClickFix, kao nova forma socijalnog inženjeringa, dodatno povećava efikasnost ovih napada, pogotovo u sektorima kao što su industrija, energetika, i pravne usluge.

Recent Articles

spot_img

Related Stories

Novosti

Ranjivost „MadeYouReset“ u HTTP/2 omogućava masivne DDoS napade

Sajber Incidenti i Curenje Podataka

Zašto ukradeni kredencijali ostaju omiljeno oruđe sajber kriminalaca

Sajber Incidenti i Curenje Podataka

Hakeri provalili u Toptal GitHub i objavili 10 malicioznih npm paketa sa 5.000 preuzimanja

Sajber Incidenti i Curenje Podataka

Fire Ant iskorištava VMware propuste kako bi kompromitovao ESXi hostove i vCenter okruženja

Ažuriranja i Zakrpe

Sophos i SonicWall ispravljaju kritične RCE propuste koji utiču na zaštitne zidove i SMA 100 uređaje

AI i Nove Tehnologije

Sam Altman iz OpenAI-a upozorava na krizu AI prevara putem glasovne imitacije u bankarskom sektoru

© Copyright - Kiber.ba