СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
18.01.2025
#ИБ#Инфра

Эскалация угроз: кампания MintsLoader угрожает безопасности организаций

Эскалация угроз: кампания MintsLoader угрожает безопасности организаций

Изображение: www.esentire.com

В начале января 2025 года была выявлена настораживающая кибератака, связанная с вредоносным загрузчиком MintsLoader. Этот инструмент используется для внедрения в системы таких опасных программ, как Stealc и клиент Berkeley Open Infrastructure for Network Computing (BOINC). Данная кампания оказала серьёзное воздействие на организации энергетической и нефтегазовой отраслей в Соединенных Штатах и Европе.

Что такое MintsLoader?

MintsLoader представляет собой вредоносный загрузчик на основе PowerShell, который распространяется через спам-рассылки. Вредоносные сообщения ведут на страницы Kongtuke/ ClickFix или содержат ссылки на файл JScript. Загрузчик использует алгоритм генерации домена (DGA) и применяет защитные меры, направленные на затруднение анализа в виртуальных средах.

Процесс заражения

Процесс заражения с помощью MintsLoader включает несколько этапов:

  • Загрузка файла JScript с определённым шаблоном регулярных выражений.
  • Выполнение команд PowerShell для извлечения этапов.
  • Использование методов обфускации для скрытия вредоносной активности.

Опасности Stealc

Stealc, производное от Arkei, функционирует как программа для кражи информации, специально нацеленная на конфиденциальные данные, хранящиеся в:

  • веб-браузерах;
  • приложениях;
  • крипто-кошельках;
  • почтовых клиентах.

Собранные данные передаются на сервер управления (C2). Чтобы избежать статического анализа, Stealc применяет зашифрованные строки с алгоритмом XOR, расшифровывая их во время выполнения.

Защита и обход систем

Программа реализует меры, предохраняющие от отладки и анализа, а также включает проверки, позволяющие избежать попадания в системы с определенными атрибутами, такими как:

  • идентификаторы языка;
  • число процессорных ядер;
  • параметры памяти;
  • высота разрешения экрана.

Кроме того, Stealc создаёт уникальный идентификатор оборудования (HWID) на основе серийного номера диска C:, что помогает фильтровать украденные журналы и обходить защищённые среды. Конфигурация на сервере C2 поступает в кодировке base64 для обработки собранных данных с помощью HTTP POST-запросов.

Заключение

Кампания MintsLoader представляет собой значительную угрозу из-за её скрытого характера, особенно для организаций из энергетического и нефтегазового секторов в Соединенных Штатах и Европе. Способы распространения сгруппированы среди спам-писем с ссылками на файл JScript и ресурсы ClickFix/ KongTuke. В комбинации с такими похитителями, как Stealc, данная кампания создает повышенный риск для конфиденциальности и целостности данных, что требует серьезного внимания со стороны специалистов по кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: