Машина срещу машината: как MintsLoader успява да се предпази от откриване
Неуловимият код, който надхитрява даже изкуствения разсъдък.
Изследователите от eSentire неотдавна идентифицираха нова вълна от офанзиви, употребяващи зловредния инструмент за евакуиране MintsLoader. Киберпрестъпната интервенция, ориентирана към секторите на енергетиката, нефта и газа, както и към правните услуги в Съединени американски щати и Европа, показва високата степен на трудност на актуалните закани.
MintsLoader е основано на PowerShell приложение за евакуиране, популяризирано посредством спам имейли. След като кликнат върху прикачения линк, потребителите изтеглят замаскиран JavaScript файл, който задейства PowerShell команда за евакуиране на MintsLoader и за неговото осъществяване. Зловредният програмен продукт е кадърен да се деинсталира, с цел да избегне откриването си.
Специална специфичност на акцията е потреблението на подправени CAPTCHA. Жертвите копират и извършват зловредния PowerShell скрипт, изтеглен в техния клипборд, като следват „ инструкциите “ на екрана. Тези техники за машинация, известни като ClickFix и KongTuke, се употребяват интензивно от нападателите.
MintsLoader комуникира със сървър за ръководство и надзор, с цел да извлича междинни потребни данни. Програмата деликатно заобикаля пясъчниците и системите за разбор посредством потреблението на логаритъм за генериране на домейни (DGA), който всекидневно трансформира адреса на сървъра за командване и ръководство.
В резултат на офанзивата се конфигурира StealC – мощен инструмент за кражба на информация. Този злотворен програмен продукт действа по модела „ злотворен програмен продукт като услуга “ (MaaS) станал изключително прочут при започване на 2023 година
MintsLoader се откроява с необичайния си метод към инспекцията по време на осъществяване: той проучва хардуерните характерности на устройството, като да вземем за пример типа на видеоконтролера, размера на кеша на процесора и общия брой процесорни ядра. Така да вземем за пример, в случай че устройството има единствено едно ядро или по-малко от 1111 MB памет, зареждащият модул приема, че това е виртуална машина, и приключва работата си.
Тази тактика разрешава на MintsLoader да заобикаля анализите в пясъчници и на изследователските системи, като усилва успеваемостта на акцията. Освен това хакерите употребяват краткотрайни хостинг услуги, с цел да доставят финалния пакет, което затруднява следенето на веригата на офанзивата.
