Logiciel malveillant MintsLoader
Des chercheurs en cybersécurité ont découvert une campagne active exploitant un chargeur de malware connu sous le nom de MintsLoader. Cette menace basée sur PowerShell a été utilisée pour distribuer des charges utiles secondaires, notamment le voleur d'informations StealC et une plateforme open source légitime appelée BOINC. Distribué via des courriers indésirables, MintsLoader utilise des liens vers des pages KongTuke ou ClickFix ou des fichiers JScript malveillants pour accéder aux systèmes des victimes. La campagne, détectée début janvier 2025, a principalement ciblé des secteurs critiques tels que l'électricité, le pétrole et le gaz, et les services juridiques aux États-Unis et en Europe.
Table des matières
Fausses invites CAPTCHA : un point d’entrée trompeur
La campagne exploite une tendance croissante en matière de tactiques malveillantes, comme l'utilisation abusive de fausses invites de vérification CAPTCHA. Ces pages trompeuses incitent les utilisateurs à exécuter des scripts PowerShell compromis en se faisant passer pour des vérifications humaines de routine. Connues sous le nom de techniques KongTuke et ClickFix, ces attaques manipulent les utilisateurs sans méfiance en injectant des scripts malveillants dans leurs tampons de copier/coller. Les victimes sont ensuite invitées à coller et à exécuter le script dans la fenêtre Exécuter de Windows, ce qui complète la première étape de l'infiltration des attaquants.
Comment KongTuke injecte des scripts frauduleux
KongTuke s'appuie sur un mécanisme d'injection de script qui amène les sites Web ciblés à afficher des pages contrefaites de type « vérifiez que vous êtes humain ». Lorsqu'une victime interagit avec ces pages, un script PowerShell malveillant est chargé silencieusement dans son presse-papiers. La page fournit des instructions explicites sur la manière de coller et d'exécuter le script, ce qui rend l'attaque à la fois simple et efficace. Une campagne connexe diffusant BOINC montre à quel point cette technique trompeuse est devenue répandue.
La chaîne d’infection sophistiquée de MintsLoader
La chaîne d'attaque de MintsLoader commence par un lien frauduleux envoyé par courrier indésirable. Lorsque l'utilisateur clique sur le lien, il télécharge un fichier JavaScript obscurci. Ce fichier déclenche une commande PowerShell pour télécharger MintsLoader à l'aide de curl, l'exécuter et s'effacer du système pour éviter toute détection. Dans les chemins d'attaque alternatifs, les utilisateurs sont redirigés vers des pages de type ClickFix, où ils sont à nouveau invités à exécuter des scripts dans l'invite d'exécution de Windows.
Une fois déployé, MintsLoader contacte un serveur de commande et de contrôle (C2) pour télécharger d'autres charges utiles. Ces scripts PowerShell intermédiaires effectuent des vérifications du système pour échapper aux sandbox et autres outils d'analyse. Le chargeur intègre également un algorithme de génération de domaine (DGA), qui crée dynamiquement des noms de domaine C2 en ajoutant le jour actuel du mois à une valeur de départ.
StealC : une charge utile puissante avec des exclusions régionales
La campagne d'attaque culmine avec le déploiement de StealC , un voleur d'informations commercialisé dans le cadre de l'écosystème Malware-as-a-Service (MaaS) depuis début 2023. Probablement une variante repensée de l' Arkei Stealer , StealC bénéficie de techniques d'évasion avancées. L'une de ses caractéristiques notables est sa capacité de ciblage régional : il évite d'infecter les systèmes situés en Russie, en Ukraine, en Biélorussie, au Kazakhstan et en Ouzbékistan, ce qui suggère que des motivations ou des contraintes spécifiques guident son développement.
Augmentation des menaces et vigilance des utilisateurs
La découverte de MintsLoader et des campagnes associées souligne la sophistication croissante des cyberattaques visant les secteurs critiques. En exploitant la confiance via de fausses invites CAPTCHA et en tirant parti de mécanismes de livraison complexes, les attaquants continuent d'innover dans leurs méthodes. Alors que les menaces de ce type deviennent plus avancées, la vigilance des utilisateurs reste une défense essentielle pour ne pas être victime de ces stratagèmes trompeurs.
