Tehdit avcıları, StealC bilgi hırsızı gibi ikincil yükleri dağıtmak için MintsLoader adlı kötü amaçlı yazılım yükleyicisinden ve BOINC adlı meşru bir açık kaynaklı ağ bilgi işlem platformundan yararlanan devam eden bir kampanyanın ayrıntılarını açıkladı.
Siber güvenlik firması eSentire bir analizde, “MintsLoader, Kongtuke/ClickFix sayfalarına veya bir JScript dosyasına bağlantı içeren spam e-postalar yoluyla teslim edildiği görülen PowerShell tabanlı bir kötü amaçlı yazılım yükleyicisidir.” dedi.
Faaliyeti Ocak 2025’in başlarında tespit eden şirkete göre kampanya, Amerika Birleşik Devletleri ve Avrupa’daki elektrik, petrol ve gaz ile hukuk hizmetleri sektörlerini hedef aldı.
Bu gelişme, ClickFix ve KongTuke olarak bilinen bir teknik olan, kontrolleri aşmak için kullanıcıları kandırarak PowerShell komut dosyalarını kopyalayıp çalıştırmaları için sahte CAPTCHA doğrulama istemlerini kötüye kullanan kötü amaçlı kampanyaların arttığı bir dönemde ortaya çıkıyor.
Palo Alto Networks Birim 42, BOINC’i dağıtan benzer bir kampanyayı detaylandıran bir raporda, “KongTuke, şu anda ilişkili web sitelerinin sahte ‘insan olduğunuzu doğrulayın’ sayfaları görüntülemesine neden olan enjekte edilmiş bir komut dosyası içeriyor.” dedi.
“Bu sahte doğrulama sayfaları potansiyel bir kurbanın Windows kopyalama/yapıştırma arabelleğini kötü amaçlı PowerShell komut dosyasıyla yüklüyor. Sayfada ayrıca potansiyel kurbanlardan komut dosyasını bir Çalıştır penceresine yapıştırıp çalıştırmalarını isteyen ayrıntılı talimatlar da veriliyor.”
eSentire tarafından belgelenen saldırı zinciri, kullanıcılar spam e-postadaki bir bağlantıya tıkladığında, gizlenmiş bir JavaScript dosyasının indirilmesiyle başlıyor. Betik, MintsLoader’ı curl aracılığıyla indirmek ve yürütmek için bir PowerShell komutunu çalıştırmaktan sorumludur, ardından iz bırakmamak için kendisini ana bilgisayardan siler.
Alternatif diziler, mesaj alıcılarını, Windows Çalıştır istemi aracılığıyla MintsLoader’ın teslim edilmesine yol açan ClickFix tarzı sayfalara yönlendirir.
Yükleyici kötü amaçlı yazılım da, sanal alanlardan kaçınmak ve analiz çabalarına direnmek için çeşitli kontroller gerçekleştiren geçici PowerShell veri yüklerini getirmek üzere bir komut ve kontrol (C2) sunucusuyla bağlantı kurar. Ayrıca, C2 alan adını oluşturmak için ayın geçerli gününün eklenmesine dayalı bir tohum değerine sahip bir Etki Alanı Oluşturma Algoritması (DGA) içerir.
Saldırı, 2023’ün başlarından bu yana hizmet olarak kötü amaçlı yazılım (MaaS) modeli altında satılan bir bilgi hırsızı olan StealC’nin konuşlandırılmasıyla doruğa çıkıyor. Arkei olarak bilinen başka bir hırsız kötü amaçlı yazılımdan yeniden tasarlandığı değerlendiriliyor. Kötü amaçlı yazılımın dikkate değer özelliklerinden biri, Rusya, Ukrayna, Beyaz Rusya, Kazakistan veya Özbekistan’da bulunan makinelere bulaşmasını önleme yeteneğidir.
MintsLoader kampanyasıyla ilgili haberler aynı zamanda JinxLoader’ın Astolfo Loader (diğer adıyla Jinx V3) adlı güncellenmiş bir sürümünün ortaya çıkmasının da ardından geliyor; bu sürüm, muhtemelen kaynak kodunun kötü amaçlı yazılım yazarı Rendnza tarafından iki ayrı alıcıya satılmasının ardından performans nedenleriyle C++ ile yeniden yazıldı. Delfin ve AstolfoLoader.
BlackBerry, geçen yılın sonlarında şunları kaydetti: “@Delfin, JinxLoaderV2’yi değişmeden sattığını iddia ederken, @AstolfoLoader, orijinal Go tarafından derlenmiş ikili dosyayı kullanmak yerine kötü amaçlı yazılımı yeniden markalamayı ve saplamayı C++ (Jinx V3) olarak değiştirmeyi seçti.”
“JinxLoader ve onun halefi Astolfo Loader (Jinx V3) gibi hizmetler, bu tür araçların nasıl hızla ve uygun maliyetle çoğalabileceğini ve İnternet bağlantısı olan hemen hemen herkesin erişebildiği popüler halka açık hackleme forumları aracılığıyla satın alınabileceğini gösteriyor.”
Siber güvenlik araştırmacıları ayrıca, anlaşma ve sözleşme arayan kurbanları indirmek için gerçekçi görünümlü bir mesaj panosu barındıran ele geçirilmiş WordPress sitelerine yönlendirmek için arama motoru optimizasyonu (SEO) zehirlenmesini silah haline getirdiği bilinen GootLoader kötü amaçlı yazılım kampanyalarının iç işleyişine de ışık tuttu. aradıkları iddia edilen şeyi içeren bir dosya.
Kötü amaçlı yazılım operatörlerinin WordPress sitelerinde değişiklikler yaparak bu sitelerin Sophos tarafından “ana gemi” olarak adlandırılan başka bir sunucudan sahte forum sayfası içeriğini dinamik olarak yüklemesine neden olduğu tespit edildi.
GootLoader kampanyaları, IP adresi aralıklarını coğrafi olarak sınırlamanın ve belirli ilgi duyulan ülkelerden gelen isteklerin gelmesine izin vermenin yanı sıra, IP’yi bir engelleme listesine ekleyerek potansiyel kurbanın virüslü siteyi yalnızca 24 saatte bir ziyaret etmesine izin vererek daha da ileri gider.
Güvenlik araştırmacısı Gabor Szappanos, “Bu sürecin her yönü o kadar karmaşık ki, ele geçirilen WordPress sayfalarının sahipleri bile çoğu zaman kendi sitelerindeki değişiklikleri tanımlayamıyor veya kendi sayfalarını ziyaret ettiklerinde GootLoader kodunun çalışmasını tetikleyemiyor.” dedi. .