Pemuat malware yang dikenal sebagai Mintsloader telah digunakan untuk memberikan akses jarak jauh berbasis PowerShell Trojan yang disebut Ghostweaver.
“Mintsloader beroperasi melalui rantai infeksi multi-tahap yang melibatkan skrip JavaScript dan PowerShell yang dikalahkan,” kata Grup Insikt Future Future dalam sebuah laporan yang dibagikan dengan The Hacker News.
“Malware menggunakan teknik penggelapan mesin dan mesin virtual, algoritma generasi domain (DGA), dan komunikasi perintah dan kontrol (C2) berbasis HTTP.”
Kampanye phishing dan drive-by unduhan yang mendistribusikan mintsloader telah terdeteksi di alam liar sejak awal 2023, per oranye cyberdefense. Loader telah diamati memberikan berbagai muatan tindak lanjut seperti stealc dan versi modifikasi dari klien Berkeley Open Infrastructure for Network Computing (BOINC).
Malware juga telah digunakan oleh aktor ancaman yang mengoperasikan layanan E-Crime seperti Socgholish (alias Fakut) dan Landupdate808 (alias TAG-124), mendistribusikan melalui email phishing yang menargetkan sektor industri, legal, dan energi dan pembaruan pembaruan browser palsu.
Dalam sentuhan penting, gelombang serangan baru -baru ini telah menggunakan taktik rekayasa sosial yang semakin lazim yang disebut ClickFix untuk menipu pengunjung situs dalam menyalin dan melaksanakan kode javascript dan PowerShell berbahaya. Halaman tautan ke clickFix didistribusikan melalui email spam.
“Meskipun Mintsloader berfungsi semata -mata sebagai loader tanpa kemampuan tambahan, kekuatan utamanya terletak pada kotak pasir dan teknik penghindaran mesin virtual dan implementasi DGA yang memperoleh domain C2 berdasarkan hari dijalankan,” kata Record Future.
Fitur -fitur ini, ditambah dengan teknik kebingungan, memungkinkan aktor ancaman untuk menghambat analisis dan memperumit upaya deteksi. Tanggung jawab utama malware adalah mengunduh muatan tahap berikutnya dari domain DGA melalui HTTP melalui skrip PowerShell.
Ghostweaver, menurut laporan dari Trac Labs awal Februari ini, dirancang untuk mempertahankan komunikasi yang persisten dengan server C2-nya, menghasilkan domain DGA berdasarkan algoritma unggulan tetap berdasarkan pada nomor dan tahun minggu, dan memberikan muatan tambahan dalam bentuk plugin yang dapat mencuri data browser dan memanipulasi konten HTML.
“Khususnya, Ghostweaver dapat menggunakan mintsloader sebagai muatan tambahan melalui perintah sendplugin. Komunikasi antara Ghostweaver dan server perintah-dan-kontrol (C2) diamankan melalui enkripsi TLS menggunakan C2 yang disatukan oleh klien yang disatukan secara langsung, yang dikaburkan, yang dikabarkan oleh klien, yang dikabarkan, yang dikabarkan oleh klien, yang dikabarkan oleh klien.
Pengungkapan itu datang ketika Kroll mengungkapkan upaya yang dilakukan oleh para aktor ancaman untuk mengamankan akses awal melalui kampanye yang sedang berlangsung dengan nama kode ClearFake yang memanfaatkan clickfix untuk memanfaatkan korban agar menjalankan perintah MSHTA yang pada akhirnya menggunakan malware pencuri Lumma.
