Контакты
Подписка 2025
ITSEC 2025
Защищенный удаленный доступ к ИТ-инфраструктуре. Обсуждаем решения 3 июля на онлайн-конференции
Регистрируйтесь и участвуйте!

Как MintsLoader избегает обнаружения

29/01/25

hack115

Исследователи компании eSentire недавно выявили новую волну атак с использованием вредоносного загрузчика MintsLoader. Киберпреступная операция, направленная на секторы энергетики, нефти и газа, а также юридических услуг в США и Европе, демонстрирует высокую изощрённость современных угроз, пишет Securitylab.

MintsLoader — это загрузчик на базе PowerShell, распространяемый через спам-рассылки. После клика по вложенной ссылке пользователи загружают обфусцированный JavaScript-файл, который активирует команду PowerShell для скачивания MintsLoader и его выполнения. Вредоносная программа способна самостоятельно деинсталлироваться, чтобы избежать обнаружения.

Особенностью кампании является использование поддельных CAPTCHA. Жертвы копируют и выполняют вредоносный PowerShell-скрипт, загруженный в их буфер обмена, следуя «инструкциям» на экране. Эти методы обмана, известные как ClickFix и KongTuke, активно используются злоумышленниками.

Загрузчик MintsLoader связывается с командным сервером для получения промежуточных полезных нагрузок. Программа тщательно избегает песочниц и аналитических систем благодаря использованию алгоритма генерации доменов (DGA), который ежедневно изменяет адрес командного сервера.

Итогом атаки становится установка StealC — мощного инструмента для кражи информации. Этот вредоносный код работает по модели «вредоносное ПО как услуга» (MaaS) с начала 2023 года.

MintsLoader выделяется необычным подходом к проверке среды выполнения: он анализирует аппаратные характеристики устройства, такие как тип видеоконтроллера, объём кеша процессора и общее количество процессорных ядер. Например, если устройство имеет только одно ядро или объем памяти менее 1111 МБ, загрузчик считает, что это виртуальная машина, и завершает свою работу.

Такая стратегия позволяет MintsLoader избегать анализа в песочницах и на исследовательских системах, повышая эффективность кампании. Кроме того, для доставки финальной полезной нагрузки злоумышленники используют временные хостинг-сервисы, что затрудняет отслеживание цепочки атаки.

Темы:УгрозыPowershelleSentireтактики киберпреступниковвредоносные загрузчики
КИИ
Как минимизировать киберриски и обеспечить непрерывность бизнеса: управление инцидентами
Узнайте на конференции 31 июля →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Отечественное ПО для объектов КИИ
Участвуйте 23 июля →

Еще темы...

More...