MintsLoader, функционирующий как загрузчик вредоносного ПО, активно распространяется в интернете с начала 2023 года. По данным Orange Cyberdefense, его основная задача — доставка GhostWeaver, троянской программы удаленного доступа на основе PowerShell. Ключевыми преимуществами MintsLoader являются продвинутые методы обхода «песочниц» и виртуальных машин, а также использование алгоритма генерации доменов (DGA).

Техническая структура MintsLoader представляет собой многоступенчатую цепочку заражения с использованием обфусцированных скриптов JavaScript и PowerShell. Вредоносная программа применяет HTTP-протокол для командно-контрольных (C2) коммуникаций и загружает следующую стадию вредоносной нагрузки с доменов, созданных алгоритмом DGA, через PowerShell-скрипты.
Распространение MintsLoader происходит различными путями. Злоумышленники используют фишинговые письма, нацеленные на промышленный, юридический и энергетический секторы, кампании drive-by загрузок, поддельные уведомления об обновлении браузера, а также тактику социальной инженерии ClickFix, которая обманом заставляет пользователей копировать и выполнять вредоносный код. За распространением стоят хакерские группы, оперирующие в сфере киберпреступности, включая SocGholish (известную также как FakeUpdates) и LandUpdate808 (TAG-124).
GhostWeaver, основная полезная нагрузка MintsLoader, обладает широким спектром возможностей. Он поддерживает постоянную связь с C2-сервером, генерирует домены на основе алгоритма с фиксированным начальным значением (используя номер недели и год), доставляет дополнительные вредоносные программы в виде плагинов и способен похищать данные браузера. Кроме того, троян может манипулировать HTML-контентом и развертывать MintsLoader в качестве дополнительной нагрузки через команду "sendPlugin".
Особое внимание следует обратить на использование GhostWeaver шифрования TLS с обфусцированным самоподписанным сертификатом X.509 для коммуникации с командным центром, что значительно затрудняет обнаружение вредоносной активности.
Согласно отчету Recorded Future's Insikt Group, MintsLoader и GhostWeaver связаны с кампанией CLEARFAKE, о которой сообщала компания Kroll. В рамках этой кампании применяется метод ClickFix для обмана жертв, используются команды MSHTA, а конечной целью является доставка вредоносной программы Lumma Stealer, предназначенной для кражи данных.
TRAC Labs в своем февральском отчете о GhostWeaver подтверждает, что данная вредоносная программа продолжает эволюционировать, адаптируясь к новым системам защиты и расширяя свои возможности по сбору конфиденциальной информации.
Эксперты Orange Cyberdefense отмечают, что сочетание продвинутых техник обхода обнаружения, шифрования коммуникаций и динамической генерации доменов делает MintsLoader и GhostWeaver особенно опасными угрозами для корпоративных сетей, требующими комплексного подхода к обеспечению безопасности.

Изображение носит иллюстративный характер
Техническая структура MintsLoader представляет собой многоступенчатую цепочку заражения с использованием обфусцированных скриптов JavaScript и PowerShell. Вредоносная программа применяет HTTP-протокол для командно-контрольных (C2) коммуникаций и загружает следующую стадию вредоносной нагрузки с доменов, созданных алгоритмом DGA, через PowerShell-скрипты.
Распространение MintsLoader происходит различными путями. Злоумышленники используют фишинговые письма, нацеленные на промышленный, юридический и энергетический секторы, кампании drive-by загрузок, поддельные уведомления об обновлении браузера, а также тактику социальной инженерии ClickFix, которая обманом заставляет пользователей копировать и выполнять вредоносный код. За распространением стоят хакерские группы, оперирующие в сфере киберпреступности, включая SocGholish (известную также как FakeUpdates) и LandUpdate808 (TAG-124).
GhostWeaver, основная полезная нагрузка MintsLoader, обладает широким спектром возможностей. Он поддерживает постоянную связь с C2-сервером, генерирует домены на основе алгоритма с фиксированным начальным значением (используя номер недели и год), доставляет дополнительные вредоносные программы в виде плагинов и способен похищать данные браузера. Кроме того, троян может манипулировать HTML-контентом и развертывать MintsLoader в качестве дополнительной нагрузки через команду "sendPlugin".
Особое внимание следует обратить на использование GhostWeaver шифрования TLS с обфусцированным самоподписанным сертификатом X.509 для коммуникации с командным центром, что значительно затрудняет обнаружение вредоносной активности.
Согласно отчету Recorded Future's Insikt Group, MintsLoader и GhostWeaver связаны с кампанией CLEARFAKE, о которой сообщала компания Kroll. В рамках этой кампании применяется метод ClickFix для обмана жертв, используются команды MSHTA, а конечной целью является доставка вредоносной программы Lumma Stealer, предназначенной для кражи данных.
TRAC Labs в своем февральском отчете о GhostWeaver подтверждает, что данная вредоносная программа продолжает эволюционировать, адаптируясь к новым системам защиты и расширяя свои возможности по сбору конфиденциальной информации.
Эксперты Orange Cyberdefense отмечают, что сочетание продвинутых техник обхода обнаружения, шифрования коммуникаций и динамической генерации доменов делает MintsLoader и GhostWeaver особенно опасными угрозами для корпоративных сетей, требующими комплексного подхода к обеспечению безопасности.