Ssylka

Как хакеры используют MintsLoader и GhostWeaver для обхода защиты и кражи данных?

MintsLoader, функционирующий как загрузчик вредоносного ПО, активно распространяется в интернете с начала 2023 года. По данным Orange Cyberdefense, его основная задача — доставка GhostWeaver, троянской программы удаленного доступа на основе PowerShell. Ключевыми преимуществами MintsLoader являются продвинутые методы обхода «песочниц» и виртуальных машин, а также использование алгоритма генерации доменов (DGA).
Как хакеры используют MintsLoader и GhostWeaver для обхода защиты и кражи данных?
Изображение носит иллюстративный характер

Техническая структура MintsLoader представляет собой многоступенчатую цепочку заражения с использованием обфусцированных скриптов JavaScript и PowerShell. Вредоносная программа применяет HTTP-протокол для командно-контрольных (C2) коммуникаций и загружает следующую стадию вредоносной нагрузки с доменов, созданных алгоритмом DGA, через PowerShell-скрипты.

Распространение MintsLoader происходит различными путями. Злоумышленники используют фишинговые письма, нацеленные на промышленный, юридический и энергетический секторы, кампании drive-by загрузок, поддельные уведомления об обновлении браузера, а также тактику социальной инженерии ClickFix, которая обманом заставляет пользователей копировать и выполнять вредоносный код. За распространением стоят хакерские группы, оперирующие в сфере киберпреступности, включая SocGholish (известную также как FakeUpdates) и LandUpdate808 (TAG-124).

GhostWeaver, основная полезная нагрузка MintsLoader, обладает широким спектром возможностей. Он поддерживает постоянную связь с C2-сервером, генерирует домены на основе алгоритма с фиксированным начальным значением (используя номер недели и год), доставляет дополнительные вредоносные программы в виде плагинов и способен похищать данные браузера. Кроме того, троян может манипулировать HTML-контентом и развертывать MintsLoader в качестве дополнительной нагрузки через команду "sendPlugin".

Особое внимание следует обратить на использование GhostWeaver шифрования TLS с обфусцированным самоподписанным сертификатом X.509 для коммуникации с командным центром, что значительно затрудняет обнаружение вредоносной активности.

Согласно отчету Recorded Future's Insikt Group, MintsLoader и GhostWeaver связаны с кампанией CLEARFAKE, о которой сообщала компания Kroll. В рамках этой кампании применяется метод ClickFix для обмана жертв, используются команды MSHTA, а конечной целью является доставка вредоносной программы Lumma Stealer, предназначенной для кражи данных.

TRAC Labs в своем февральском отчете о GhostWeaver подтверждает, что данная вредоносная программа продолжает эволюционировать, адаптируясь к новым системам защиты и расширяя свои возможности по сбору конфиденциальной информации.

Эксперты Orange Cyberdefense отмечают, что сочетание продвинутых техник обхода обнаружения, шифрования коммуникаций и динамической генерации доменов делает MintsLoader и GhostWeaver особенно опасными угрозами для корпоративных сетей, требующими комплексного подхода к обеспечению безопасности.


Новое на сайте

15633Гигантское газовое облако массой в 5500 солнц обнаружено вблизи земли 15632Какое животное на самом деле самое опасное в Йосемити? 15631Визуальное мышление Карла Линнея: переосмысление роли иллюстраций в работе великого... 15630Что нужно знать о приближающихся к земле астероидах размером с автобус? 15629Как укусы ядовитых змей могут изменить будущее медицины? 15626Необычный метод мумификации: как ректум австрийского священника сыграл ключевую роль в... 15625Космическое столкновение: как пульсар деформировал гигантскую "змею" в центре... 15624Игра в Minecraft раскрывает механизмы человеческого обучения в реальной жизни 15623Космический спектакль: как наблюдать метеорный поток Эта-Аквариды – следы кометы галлея 15622Как изменится мир без комаров: экологические последствия и современные методы борьбы? 15621Автоматизация реагирования на уязвимости: как сократить время обработки CVE на 60% 15620ТикТок оштрафован на €530 миллионов за нарушение конфиденциальности данных европейских... 15619Как хакеры используют MintsLoader и GhostWeaver для обхода защиты и кражи данных?