Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Как MintsLoader избегает обнаружения

29/01/25

hack115

Исследователи компании eSentire недавно выявили новую волну атак с использованием вредоносного загрузчика MintsLoader. Киберпреступная операция, направленная на секторы энергетики, нефти и газа, а также юридических услуг в США и Европе, демонстрирует высокую изощрённость современных угроз, пишет Securitylab.

MintsLoader — это загрузчик на базе PowerShell, распространяемый через спам-рассылки. После клика по вложенной ссылке пользователи загружают обфусцированный JavaScript-файл, который активирует команду PowerShell для скачивания MintsLoader и его выполнения. Вредоносная программа способна самостоятельно деинсталлироваться, чтобы избежать обнаружения.

Особенностью кампании является использование поддельных CAPTCHA. Жертвы копируют и выполняют вредоносный PowerShell-скрипт, загруженный в их буфер обмена, следуя «инструкциям» на экране. Эти методы обмана, известные как ClickFix и KongTuke, активно используются злоумышленниками.

Загрузчик MintsLoader связывается с командным сервером для получения промежуточных полезных нагрузок. Программа тщательно избегает песочниц и аналитических систем благодаря использованию алгоритма генерации доменов (DGA), который ежедневно изменяет адрес командного сервера.

Итогом атаки становится установка StealC — мощного инструмента для кражи информации. Этот вредоносный код работает по модели «вредоносное ПО как услуга» (MaaS) с начала 2023 года.

MintsLoader выделяется необычным подходом к проверке среды выполнения: он анализирует аппаратные характеристики устройства, такие как тип видеоконтроллера, объём кеша процессора и общее количество процессорных ядер. Например, если устройство имеет только одно ядро или объем памяти менее 1111 МБ, загрузчик считает, что это виртуальная машина, и завершает свою работу.

Такая стратегия позволяет MintsLoader избегать анализа в песочницах и на исследовательских системах, повышая эффективность кампании. Кроме того, для доставки финальной полезной нагрузки злоумышленники используют временные хостинг-сервисы, что затрудняет отслеживание цепочки атаки.

Темы:УгрозыPowershelleSentireтактики киберпреступниковвредоносные загрузчики
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...