Tehdit avcıları, Stealc Information Stealer ve BOINC adlı meşru bir açık kaynaklı ağ bilgi işlem platformu gibi ikincil yükleri dağıtmak için Mintsloader adlı bir kötü amaçlı yazılım yükleyicisini kullanan devam eden bir kampanyayı detaylandırdı.
“Mintsloader, Kongtuke/ClickFix sayfalarına veya bir JScript dosyasına bağlantılı spam e -postaları aracılığıyla teslim edilen PowerShell tabanlı bir kötü amaçlı yazılım yükleyicidir.” söz konusu bir analizde.
Kampanya, Ocak 2025’in başlarında faaliyeti tespit eden şirkete göre ABD ve Avrupa’daki elektrik, petrol ve gaz ve hukuk hizmetleri sektörlerini hedef aldı.
Geliştirme, sahte Captcha doğrulama istemlerini kötüye kullanan kötü niyetli kampanyalarda bir artışın ortasında, kullanıcıları ClickFix ve Kongtuke olarak bilinen bir teknik olan çeklerin etrafında dolaşmak için PowerShell komut dosyalarını kopyalamak ve yürütmeye yönlendiriyor.
“Kongtuke, şu anda ilişkili web sitelerinin sahte ‘İnsan Olduğunuzu Doğrula’ sayfalarını göstermesine neden olan enjekte edilmiş bir senaryo içeriyor. söz konusu Boinc dağıtan benzer bir kampanyayı detaylandıran bir raporda.
“Bu sahte doğrulama sayfaları, potansiyel bir kurbanın Windows kopya/yapıştırma arabelleğini kötü amaçlı PowerShell betiği ile yükler. Sayfa ayrıca, potansiyel kurbanlardan komut dosyasını bir çalışma penceresine yapıştırmasını ve yürütmelerini isteyen ayrıntılı talimatlar da sunar.”
Esentir tarafından belgelenen saldırı zinciri, kullanıcılar bir spam e -postasındaki bir bağlantıyı tıkladığında başlar ve gizlenmiş bir JavaScript dosyasının indirilmesine yol açar. Komut dosyası, Mintsloader’ı Curl aracılığıyla indirmek ve yürütmek için bir PowerShell komutunu çalıştırmaktan sorumludur, daha sonra iz bırakmamak için kendisini ana bilgisayardan siler.
Alternatif sekanslar, mesaj alıcılarını Windows Run istemi aracılığıyla nane yükleyicisinin teslimatına yol açan ClickFix tarzı sayfalara yönlendirir.
Loader kötü amaçlı yazılım, sırayla, kum havuzlarından kaçmak ve analiz çabalarına direnmek için çeşitli kontroller gerçekleştiren geçici PowerShell yüklerini almak için bir komut ve kontrol (C2) sunucusuyla iletişim kurar. Ayrıca, C2 alan adını oluşturmak için ayın cari gününün eklenmesine dayanan bir tohum değerine sahip bir alan üretimi algoritması (DGA) bulunur.
Saldırı, 2023’ün başlarından beri Hizmet Olarak Kötü Yazılım (MAAS) modeli altında satılan bir bilgi stealer olan STEALC’nin dağıtımıyla sonuçlanır. Arkei olarak bilinen başka bir çalan kötü amaçlı yazılımdan yeniden tasarlandığı değerlendirilir. Kötü amaçlı yazılımın dikkate değer özelliklerinden biri, Rusya, Ukrayna, Belarus, Kazakistan veya Özbekistan’da bulunan enfekte makinelerini önleme yeteneğidir.
Mintsloader kampanyasının haberleri, kaynak kodu tarafından iki ayrı alıcıya satıldıktan sonra, performans nedenlerinden ötürü performans nedenlerinden dolayı muhtemel C ++ ‘da yeniden yazılmış olan Jinxloader olarak adlandırılan Astolfo Loader olarak adlandırılan Jinxloader’ın güncellenmiş bir versiyonunun ortaya çıkmasını da takip ediyor. Delfin ve Astolfoloader.
“@Delfin, Jinxloaderv2’yi değiştirmeden sattığını iddia ederken, @astolfoloader, kötü amaçlı yazılımları yeniden markalaştırmayı ve saplamayı orijinal go-derlenmiş ikili kullanmak yerine C ++ (Jinx v3) olarak değiştirmeyi seçti.” dikkat çeken Geçen yılın sonlarında.
“Jinxloader ve halefi Astolfo Loader (Jinx V3) gibi hizmetler, bu tür araçların hızlı ve uygun bir şekilde nasıl çoğalabileceğini ve neredeyse internet bağlantısı olan herkes için erişilebilen popüler kamu hack forumları aracılığıyla nasıl satın alınabileceğini örneklendirir.”
Siber güvenlik araştırmacıları, Gootloader Arama Motoru Optimizasyonu (SEO) zehirlenmesi, söz konusu kurbanları ve sözleşmeleri arayan, söz konusu WordPress sitelerine karşı anlaşmaları ve sözleşmeleri arayan bir dosyayı, aradıklarını içeren bir dosyayı indirmek için indirmek için yeniden yönlendirmek için yönlendirmeyi.
Kötü amaçlı yazılım operatörlerinin, bu sitelerin Sophos tarafından “Mothership” olarak adlandırılan başka bir sunucudan sahte forum sayfası içeriğini dinamik olarak yüklemesine neden olan WordPress sitelerinde değişiklikler yaptıkları bulunmuştur.
GoOtloader kampanyaları, IP adresi aralıklarının coğrafiencing ve ilgi çekici ülkelerden gelmesine izin vermenin yanı sıra, potansiyel kurbanın IP’yi bir blok listesine ekleyerek enfekte olmuş siteyi 24 saatte ziyaret etmesine izin vererek daha da ileri gidin.
Güvenlik Araştırmacısı Gabor Szappanos, “Bu sürecin her yönü, tehlikeye atılan WordPress sayfalarının sahiplerinin bile kendi sitelerindeki değişiklikleri tanımlayamayacağı veya kendi sayfalarını ziyaret ettiklerinde gootloader kodunu tetikleyemeyecekleri dereceye kadar gizleniyor.” söz konusu.
