30.04.2025

Анализ угрозы MintsLoader: эволюция изощренного вредоносного загрузчика

MintsLoader – это вредоносный загрузчик, впервые обнаруженный в период с июля по октябрь 2024 года, хотя его более ранние кампании были оценены еще в феврале 2024 года. Данный инструмент активно используется в фишинговых атаках и при скачивании через методы drive-by. Его цель – развертывание дополнительных вредоносных программ, таких как:

троян для удаленного доступа GhostWeaver;
StealC для кражи информации;
модифицированная версия клиента BOINC.

Методология заражения

MintsLoader использует многоступенчатую методологию заражения. Процесс начинается с запутанного JavaScript, который запускет сценарий PowerShell на втором этапе. Этот сценарий PowerShell разработан так, чтобы избежать обнаружения, динамически создавая домены управления (C2) с помощью алгоритма генерации доменов (DGA), который зависит от времени, что существенно усложняет мониторинг.

Этапы атаки

На начальном этапе используется сильно запутанный JavaScript, который выполняет команду PowerShell. Эта команда отвечает за извлечение последующего сценария PowerShell, известного своими методами антианализа, которые предназначены для предотвращения его обнаружения в изолированных средах. Сценарий второго этапа:

проверяет, работает ли он в изолированной или виртуализированной среде;
передает полученную информацию обратно на сервер C2;
определяет последующие шаги в зависимости от условий выполнения.

Если определенные условия совпадают, на втором этапе извлекается основная полезная нагрузка; в противном случае может быть загружен исполняемый файл-приманка. Важно отметить, что MintsLoader облегчает развертывание GhostWeaver, который также может выполнять MintsLoader в качестве дополнительной полезной нагрузки.

Способы доставки и социальная инженерия

Способы доставки MintsLoader подчеркивают его универсальность. Вредоносные кампании включают:

фишинговые электронные письма, имитирующие законные коммуникации;
нацеливание на такие отрасли, как промышленность, юриспруденция и энергетика;
хитроумную социальную инженерию, включая поддельные счета-фактуры и запросы на обновление браузера.

Адаптивный характер инфраструктуры C2 представляет собой серьезные проблемы для статического анализа и обнаружения благодаря использованию как DGA, так и HTTP для обмена данными, а также способности выполнять команды запутанным образом.

Взаимодействие с платформами и хакерами

Вредоносный загрузчик также используется на взломанных сайтах SocGholish, где применяются поддельные приглашения, обманом заставляющие пользователей запускать вредоносные скрипты. Эти операции зачастую приводят к запуску дополнительных функций, таких как GhostWeaver и модификации клиента BOINC, предназначенные для вредоносных коммуникаций C2.

Хакеры, стоящие за MintsLoader, в первую очередь идентифицируются как TAG-124 (также известный как LandUpdate808), и внедряют загрузчик в свою обширную операционную деятельность. Использование пуленепробиваемых хостинг-провайдеров и переход MintsLoader с традиционных VPS на такие компании, как SCALAXY-AS, свидетельствует о стратегическом шаге в направлении повышения устойчивости к усилиям правоохранительных органов и киберзащиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Автор: Технологии киберугроз

Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.

Комментарии: