Il caricatore di malware noto come Mintsloader è stato utilizzato per consegnare un Trojan remoto di accesso con sede a PowerShell chiamato Ghostweaver.
“Mintsloader opera attraverso una catena di infezione a più stadi che coinvolge script JavaScript e PowerShell offuscati”, ha registrato il gruppo Insikt di Future disse In un rapporto condiviso con le notizie di Hacker.
“Il malware impiega tecniche di evasione di sandbox e di macchine virtuali, un algoritmo di generazione di domini (DGA) e comunicazioni di comando e controllo (C2) basate su HTTP.”
Phishing e drive-by obtain di campagne distribuendo Mintsloader sono stati rilevati in natura dall’inizio del 2023, per Cyberdefense arancione. Il caricatore è stato osservato offrendo vari payload come STEALC e una versione modificata dell’infrastruttura Open Berkeley per la rete di rete (Boinc).
Il malware è stato anche utilizzato dagli attori delle minacce che gestiscono servizi di e-crime come Socgholish (aka fakeupdates) e Landupdate808 (AKA TAG-124), Distribuzione tramite e-mail di phishing destinate ai settori industriali, legali ed energetici e false istruzioni di aggiornamento del browser.
In una svolta notevole, le recenti onde di attacco hanno impiegato la tattica di ingegneria sociale sempre più diffusa chiamata ClickFix per ingannare i visitatori del sito nella copia e nell’esecuzione di JavaScript e Code PowerShell dannosi. I collegamenti alle pagine ClickFix sono distribuiti tramite e -mail spam.
“Sebbene Mintsloader funzioni esclusivamente come un caricatore senza capacità supplementari, i suoi punti di forza primari risiedono nelle sue tecniche di evasione della macchina e delle macchine virtuali e un’implementazione DGA che deriva il dominio C2 in base al giorno in cui è gestito”, ha registrato Future registrato.
Queste caratteristiche, unite alle tecniche di offuscamento, consentono agli attori delle minacce di ostacolare l’analisi e complicare gli sforzi di rilevamento. La responsabilità principale del malware è scaricare il payload in fase successiva da un dominio DGA su HTTP per mezzo di uno script PowerShell.
Ghostweaver, secondo a rapporto Da TRAC Labs all’inizio di febbraio, è progettato per mantenere la comunicazione persistente con il suo server C2, generare domini DGA in base a un algoritmo di semi fisso in base al numero e all’anno della settimana e a fornire ulteriori payload sotto forma di plugin che possono rubare i dati del browser e manipolare il contenuto di HTML.
“In particolare, Ghostweaver può distribuire Mintsloader come un carico utile aggiuntivo tramite il suo comando Sendplugin. La comunicazione tra Ghostweaver e il suo server di comando e controllo (C2) è protetto tramite la crittografia TLS utilizzando un certificato di registrazione autodidata e auto-firmata.
La divulgazione arriva come Kroll rivelato Tentativi fatti dagli attori delle minacce per garantire l’accesso iniziale attraverso una campagna in corso Codenamed ClearFake Ciò sfrutta ClickFix per attirare le vittime nell’esecuzione di comandi MSHTA che alla tremendous distribuiscono il malware del furto Lumma.
