Эволюция MintsLoader: адаптация кибератак под рабочие часы Италии
Источник: cert-agid.gov.it
Новая кампания MintsLoader демонстрирует адаптацию киберпреступников под рабочий график Италии
В начале 2025 года исследователи зафиксировали уже девятую в серии кампанию с участием вредоносного загрузчика MintsLoader. Эта атака иллюстрирует эволюцию тактик киберпреступников, которые умело подстраивают свои операции под ритм работы пользователей в Италии, повышая вероятность успешного заражения через рабочие коммуникации.
Особенности тактики
Ключевой особенностью кампании является согласование времени атак с рабочими часами, особенно с моментами, когда пользователи получают доступ к системе Posta Elettronica Certificata (PEC) — сертифицированной системе электронной почты, широко используемой для официальных сообщений в Италии. Злоумышленники стремятся использовать периоды после выходных и праздничных дней, когда активность в PEC резко возрастает.
Механизм заражения
- MintsLoader функционирует как загрузчик на базе PowerShell, предназначенный для распространения различных видов вредоносных программ, преимущественно инфостилеров (Infostealer).
- Основной метод доставки — электронные письма, содержащие ссылки на зашифрованные файлы JavaScript.
- Для увеличения устойчивости инфраструктуры используется алгоритм генерации домена (DGA), динамически создающий вредоносные адреса на стороне злоумышленников.
- Времена активации доменов стратегически совпадают с обычными рабочими часами пользователей.
- Рассылка писем происходит рано утром, однако активация ссылок запланирована на время максимальной рабочей активности, что повышает вероятность взаимодействия с вредоносным контентом.
Технические нюансы и сложность анализа
Важной частью цепочки заражения является тщательный контроль доставки полезных нагрузок с помощью PowerShell скриптов, что значительно повышает эффективность распространения вредоносного ПО. Более того, серверная часть кампании подкреплена сложными проверками — это значительно усложняет работу аналитиков, пытающихся извлечь и изучить конечное вредоносное содержимое.
«Постоянное совершенствование технических аспектов таких кампаний подчеркивает серьезность угрозы, с которой сталкиваются как конечные пользователи, так и специалисты по кибербезопасности», — отмечают эксперты.
Заключение
Кампания MintsLoader демонстрирует, насколько гибко и тонко злоумышленники могут адаптировать свои методы под специфику целевого региона — в данном случае под особенности рабочего графика и коммуникационных платформ в Италии. Такая адаптация затрудняет обнаружение и блокировку атак, повышая риск успешного кражи данных и компрометации инфраструктуры.
Специалистам по кибербезопасности важно учитывать данную тактику при построении защитных стратегий и мониторинге активности в корпоративных почтовых системах, особенно в период после выходных и праздников.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
