
Pemburu ancaman telah merinci kampanye berkelanjutan yang memanfaatkan pemuat malware bernama Mintsloader untuk mendistribusikan muatan sekunder seperti pencuri informasi stealc dan platform komputasi jaringan open-source yang sah bernama Boinc.
“Mintsloader adalah pemuat malware berbasis PowerShell yang telah terlihat dikirimkan melalui email spam dengan tautan ke halaman KongTuke/ClickFix atau file JScript,” kata perusahaan cybersecurity Esentire dalam sebuah analisis.
Kampanye ini telah menargetkan listrik, minyak dan gas, dan sektor jasa hukum di Amerika Serikat dan Eropa, menurut perusahaan, yang mendeteksi aktivitas pada awal Januari 2025.
Pengembangan datang di tengah lonjakan dalam kampanye jahat yang menyalahgunakan verifikasi captcha palsu untuk menipu pengguna agar menyalin dan melaksanakan skrip PowerShell untuk menyiasati cek, teknik yang telah diketahui menjadi clickfix dan kongtuke.

“KongTuke melibatkan skrip yang disuntikkan yang saat ini menyebabkan situs web terkait untuk menampilkan Palsu 'Verifikasi You Are Human' Halaman,” kata Palo Alto Networks Unit 42 dalam sebuah laporan yang merinci kampanye serupa yang mendistribusikan Boinc.
“Halaman verifikasi palsu ini memuat penyalin/tempel windows calon korban dengan skrip PowerShell berbahaya. Halaman ini juga memberikan instruksi terperinci yang meminta calon korban untuk menempelkan dan menjalankan skrip di jendela yang dijalankan.”
Rantai serangan yang didokumentasikan oleh Esentire dimulai ketika pengguna mengklik tautan di email spam, yang mengarah ke pengunduhan file JavaScript yang dikalahkan. Script bertanggung jawab untuk menjalankan perintah PowerShell untuk mengunduh Mintsloader melalui Curl dan menjalankannya, setelah itu menghapus dirinya sendiri dari host untuk menghindari meninggalkan jejak.
Urutan alternatif Redirect Penerima pesan ke halaman bergaya clickFix yang mengarah ke pengiriman mintsloader melalui prompt windows run.
Malware Loader, pada gilirannya, menghubungi server perintah-dan-kontrol (C2) untuk mengambil muatan PowerShell sementara yang melakukan berbagai cek untuk menghindari kotak pasir dan menahan upaya analisis. Ini juga memiliki fitur algoritma pembuatan domain (DGA) dengan nilai benih berdasarkan penambahan hari saat ini dalam sebulan untuk membuat nama domain C2.

Serangan itu memuncak dengan penyebaran stealc, pencuri informasi yang dijual di bawah model malware-as-a-service (MAAS) sejak awal 2023. Dinilai direkayasa ulang dari malware pencuri lain yang dikenal sebagai Arkei. Salah satu fitur penting dari malware ini adalah kemampuannya untuk menghindari mesin infeksi yang berlokasi di Rusia, Ukraina, Belarus, Kazakhstan, atau Uzbekistan.
Berita Kampanye Mintsloader juga mengikuti kemunculan versi terbaru dari Jinxloader yang dijuluki Astolfo Loader (alias Jinx V3) yang telah ditulis ulang di C ++ kemungkinan karena alasan kinerja setelah kode sumbernya dijual oleh penulis malware Rendnza ke dua pembeli yang terpisah Delfin dan Astolfoloader.
“Sementara @Delfin mengklaim menjual jinxloaderv2 tidak berubah, @astolfoloader memilih untuk mengubah citra malware dan memodifikasi rintisan ke C ++ (Jinx V3), alih-alih menggunakan biner yang dikompilasi GO asli,” kata Blackberry akhir tahun lalu.
“Layanan seperti Jinxloader dan penggantinya, Astolfo Loader (Jinx V3), mencontohkan bagaimana alat tersebut dapat berkembang biak dengan cepat dan terjangkau dan dapat dibeli melalui forum peretasan publik populer yang dapat diakses oleh hampir semua orang dengan koneksi internet.”

Peneliti cybersecurity juga telah menjelaskan cara kerja dalam kampanye malware gootloader, yang diketahui mempersenjatai keracunan pengoptimalan mesin pencari (SEO) untuk mengarahkan kembali korban yang mencari perjanjian dan kontrak untuk mengkompromikan situs WordPress yang menjadi tuan rumah papan pesan yang tampak realistis untuk diunduh untuk diunduh File yang berisi apa yang konon dicari.
Operator malware telah ditemukan untuk membuat perubahan pada situs WordPress yang menyebabkan situs -situs tersebut secara dinamis memuat konten halaman forum palsu dari server lain, yang disebut sebagai “Mothership” oleh Sophos.
Kampanye Gootloader, selain rentang alamat IP geofencing dan memungkinkan permintaan berasal dari negara -negara tertentu yang diminati, melangkah lebih jauh dengan mengizinkan korban potensial untuk mengunjungi situs yang terinfeksi hanya sekali dalam 24 jam dengan menambahkan IP ke daftar blok.
“Setiap aspek dari proses ini dikecam sedemikian rupa sehingga bahkan pemilik halaman WordPress yang dikompromikan seringkali tidak dapat mengidentifikasi modifikasi di situs mereka sendiri atau memicu kode Gootloader untuk dijalankan ketika mereka mengunjungi halaman mereka sendiri,” kata peneliti keamanan Gabor Szappanos .