MintsLoaderとして知られるマルウェアローダーが、PowerShellベースのリモートアクセス型トロイの木馬であるGhostWeaverを配信するために使用されています。
“MintsLoaderは難読化されたJavaScriptとPowerShellスクリプトを含む多段階の感染チェーンを通じて動作します”と、Recorded FutureのInsikt Groupは報告書でThe Hacker Newsに共有しました。
“このマルウェアはサンドボックスと仮想マシンの回避技術、ドメイン生成アルゴリズム(DGA)、およびHTTPベースのコマンドアンドコントロール(C2)通信を使用しています。”
フィッシングやドライブバイダウンロードキャンペーンでMintsLoaderが配布されていることが、2023年初頭から野外で検出されていますとOrange Cyberdefenseは述べています。このローダーは、StealCやBerkeley Open Infrastructure for Network Computing(BOINC)クライアントの修正版など、さまざまな後続のペイロードを配信することが観察されています。
このマルウェアはまた、SocGholish(別名FakeUpdates)やLandUpdate808(別名TAG-124)などのe-crimeサービスを運営する脅威アクターによっても使用されており、産業、法律、エネルギー分野をターゲットにしたフィッシングメールや偽のブラウザ更新プロンプトを通じて配布されています。
注目すべきことに、最近の攻撃波は、ClickFixと呼ばれるますます普及しているソーシャルエンジニアリング戦術を使用して、サイト訪問者を悪意のあるJavaScriptおよびPowerShellコードをコピーして実行するように騙しています。ClickFixページへのリンクはスパムメールを通じて配布されています。
“MintsLoaderは追加機能を持たない単なるローダーとして機能しますが、その主な強みはサンドボックスと仮想マシンの回避技術、および実行日に基づいてC2ドメインを導出するDGA実装にあります”とRecorded Futureは述べています。
これらの機能は、難読化技術と相まって、脅威アクターが分析を妨げ、検出の試みを複雑にすることを可能にします。マルウェアの主な役割は、PowerShellスクリプトを介してHTTP経由でDGAドメインから次の段階のペイロードをダウンロードすることです。
TRAC Labsの今年2月の報告書によると、GhostWeaverはC2サーバーとの持続的な通信を維持し、週番号と年に基づく固定シードアルゴリズムに基づいてDGAドメインを生成し、ブラウザデータを盗むプラグインやHTMLコンテンツを操作するプラグインの形で追加のペイロードを配信するように設計されています。
“特に、GhostWeaverはsendPluginコマンドを介してMintsLoaderを追加のペイロードとして展開することができます。GhostWeaverとそのコマンドアンドコントロール(C2)サーバー間の通信は、PowerShellスクリプト内に直接埋め込まれた難読化された自己署名のX.509証明書を使用してTLS暗号化により保護されており、C2インフラストラクチャへのクライアント側認証に利用されています”とRecorded Futureは述べています。
この開示は、Krollが明らかにした、ClickFixを利用して被害者をMSHTAコマンドを実行させ、最終的にLumma Stealerマルウェアを展開するように誘導する、CLEARFAKEというコードネームの進行中のキャンペーンを通じて脅威アクターが初期アクセスを確保しようとする試みの中で行われました。