11,6 тыс подписчиков

Эскалация угроз: кампания MintsLoader угрожает безопасности организаций

18 января 202518 янв 2025

2 мин

В начале января 2025 года была выявлена настораживающая кибератака, связанная с вредоносным загрузчиком MintsLoader. Этот инструмент используется для внедрения в системы таких опасных программ, как Stealc и клиент Berkeley Open Infrastructure for Network Computing (BOINC). Данная кампания оказала серьёзное воздействие на организации энергетической и нефтегазовой отраслей в Соединенных Штатах и Европе. MintsLoader представляет собой вредоносный загрузчик на основе PowerShell, который распространяется через спам-рассылки. Вредоносные сообщения ведут на страницы Kongtuke/ ClickFix или содержат ссылки на файл JScript. Загрузчик использует алгоритм генерации домена (DGA) и применяет защитные меры, направленные на затруднение анализа в виртуальных средах. Процесс заражения с помощью MintsLoader включает несколько этапов: Stealc, производное от Arkei, функционирует как программа для кражи информации, специально нацеленная на конфиденциальные данные, хранящиеся в: Собранные данные передаются н

Оглавление

Что такое MintsLoader?
Процесс заражения
Опасности Stealc

В начале января 2025 года была выявлена настораживающая кибератака, связанная с вредоносным загрузчиком MintsLoader. Этот инструмент используется для внедрения в системы таких опасных программ, как Stealc и клиент Berkeley Open Infrastructure for Network Computing (BOINC). Данная кампания оказала серьёзное воздействие на организации энергетической и нефтегазовой отраслей в Соединенных Штатах и Европе.

Что такое MintsLoader?

MintsLoader представляет собой вредоносный загрузчик на основе PowerShell, который распространяется через спам-рассылки. Вредоносные сообщения ведут на страницы Kongtuke/ ClickFix или содержат ссылки на файл JScript. Загрузчик использует алгоритм генерации домена (DGA) и применяет защитные меры, направленные на затруднение анализа в виртуальных средах.

Процесс заражения

Процесс заражения с помощью MintsLoader включает несколько этапов:

Загрузка файла JScript с определённым шаблоном регулярных выражений.
Выполнение команд PowerShell для извлечения этапов.
Использование методов обфускации для скрытия вредоносной активности.

Опасности Stealc

Stealc, производное от Arkei, функционирует как программа для кражи информации, специально нацеленная на конфиденциальные данные, хранящиеся в:

веб-браузерах;
приложениях;
крипто-кошельках;
почтовых клиентах.

Собранные данные передаются на сервер управления (C2). Чтобы избежать статического анализа, Stealc применяет зашифрованные строки с алгоритмом XOR, расшифровывая их во время выполнения.

Защита и обход систем

Программа реализует меры, предохраняющие от отладки и анализа, а также включает проверки, позволяющие избежать попадания в системы с определенными атрибутами, такими как:

идентификаторы языка;
число процессорных ядер;
параметры памяти;
высота разрешения экрана.

Кроме того, Stealc создаёт уникальный идентификатор оборудования (HWID) на основе серийного номера диска C:, что помогает фильтровать украденные журналы и обходить защищённые среды. Конфигурация на сервере C2 поступает в кодировке base64 для обработки собранных данных с помощью HTTP POST-запросов.

Заключение

Кампания MintsLoader представляет собой значительную угрозу из-за её скрытого характера, особенно для организаций из энергетического и нефтегазового секторов в Соединенных Штатах и Европе. Способы распространения сгруппированы среди спам-писем с ссылками на файл JScript и ресурсы ClickFix/ KongTuke. В комбинации с такими похитителями, как Stealc, данная кампания создает повышенный риск для конфиденциальности и целостности данных, что требует серьезного внимания со стороны специалистов по кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Эскалация угроз: кампания MintsLoader угрожает безопасности организаций".