Kötü amaçlı yazılım yükleyici olarak bilinen Mintsloader Ghostweaver adlı PowerShell tabanlı bir uzaktan erişim Truva atı sunmak için kullanılmıştır.
Hacker News ile paylaşılan bir raporda, “Mintsloader, gizlenmiş JavaScript ve PowerShell komut dosyalarını içeren çok aşamalı bir enfeksiyon zinciri aracılığıyla çalışıyor.” Dedi.
“Kötü amaçlı yazılım, sanal alan ve sanal makine kaçırma teknikleri, bir etki alanı üretim algoritması (DGA) ve HTTP tabanlı komut ve kontrol (C2) iletişimini kullanır.”
Kimlik avı ve sürüşle indirme kampanyaları dağıtan nane yükleyici dağıtan, Turuncu CyberDefense’e göre 2023’ün başından beri vahşi doğada tespit edildi. Yükleyici, Stealc gibi çeşitli takip yükleri ve ağ hesaplama (BOINC) istemcisi için Berkeley Açık Altyapı’nın değiştirilmiş bir versiyonu sağladığı gözlemlenmiştir.
Kötü amaçlı yazılım, endüstriyel, yasal ve enerji sektörlerini ve sahte tarayıcı güncelleme istemlerini hedefleyen kimlik avı e-postaları aracılığıyla dağıtarak Socgholish (diğer adıyla FakeUpdates) ve Landupdate808 (diğer adıyla TAG-124) gibi e-suç hizmetlerini işleten tehdit aktörleri tarafından da kullanıldı.
Dikkate değer bir bükülmede, son saldırı dalgaları, site ziyaretçilerini kötü amaçlı JavaScript ve PowerShell kodunu kopyalamak ve yürütmek için kandırmak için ClickFix adlı giderek yaygınlaşan sosyal mühendislik taktiklerini kullandı. ClickFix sayfalarına bağlantılar spam e -postaları aracılığıyla dağıtılır.
“Mintsloader sadece ek yetenekleri olmayan bir yükleyici olarak işlev görse de, birincil güçleri kum havuzunda ve sanal makine kaçırma tekniklerinde ve C2 alanını çalıştırıldığı güne göre türeyen bir DGA uygulamasıdır.” Dedi.
Bu özellikler, gizleme teknikleriyle birleştiğinde, tehdit aktörlerinin analizi engellemelerini ve tespit çabalarını karmaşıklaştırmasını sağlar. Kötü amaçlı yazılımın birincil sorumluluğu, bir PowerShell komut dosyası aracılığıyla bir DGA etki alanından bir DGA alanından HTTP üzerinden indirmektir.
Bu Şubat ayının başlarında Trac Labs’tan gelen bir rapora göre, Ghostweaver, C2 sunucusuyla kalıcı iletişimi sürdürmek, hafta sayısı ve yılına dayalı bir sabit tohum algoritmasına dayalı DGA alanları oluşturmak ve tarayıcı verilerini çalabilecek ve HTML içeriğini manipüle edebilen eklentiler şeklinde ek yükler sunmak için tasarlanmıştır.
“Özellikle, Ghostweaver Mintsloader’ı SendPlugin komutu aracılığıyla ek bir yük olarak dağıtabilir. Ghostweaver ile komut ve kontrol (C2) sunucusu arasındaki iletişim, doğrudan tıpkı PowerShell komut dosyası içine yerleştirilmiş bir PowerShell betiği içine yerleştirilmiş bir TLS şifrelemesi yoluyla, Clign-destanı enflasyona kullanılarak, müşteri-desenli enfazikasyon için kaydedilen, Usta için kaydedildi.
Açıklama, Kroll, tehdit aktörlerinin kurbanları, kurbanları Lumma Stealer kötü amaçlı yazılımlarını dağıtan MSHTA komutlarını çalıştırmak için ClickFix’ten kullanan devam eden bir kampanya ile ilk erişimi güvence altına alma girişimlerinin açıkladığı gibi geliyor.