De malware -lader bekend als Muntsloader is gebruikt om een op PowerShell gebaseerde Trojan op basis van externe toegang te leveren genaamd Ghostweaver.
“MintSloader werkt via een multi-fasen infectieketen waarbij verduisterde JavaScript- en PowerShell-scripts betrokken zijn”, zei in de Insikt Group van Future in een rapport gedeeld met The Hacker News.
“De malware maakt gebruik van sandbox en virtuele machine-ontwijkingstechnieken, een domeingeneratie-algoritme (DGA) en HTTP-gebaseerde command-and-control (C2) communicatie.”
Phishing en drive-by downloadcampagnes die MintSloader distribueren, zijn sinds begin 2023 in het wild gedetecteerd, per oranje cyberdefense. De lader is waargenomen bij het leveren van verschillende follow-on payloads zoals Stealc en een gewijzigde versie van de Berkeley Open Infrastructure voor Network Computing (BOINC) -client.
De malware is ook gebruikt door bedreigingsactoren die e-crime-services exploiteren zoals Socgholish (aka nepdates) en Landupdate808 (AKA TAG-124), verspreiden via phishing-e-mails die gericht zijn op de industriële, juridische en energiesectoren en nepbrowser update-prompts.
In een opmerkelijke wending hebben recente aanvalsgolven de steeds heersende social engineering -tactiek genaamd ClickFix gebruikt om sitebezoekers te misleiden om kwaadaardige JavaScript- en PowerShell -code te kopiëren en uit te voeren. De links naar ClickFix -pagina’s worden gedistribueerd via spam -e -mails.
“Hoewel MintSloader alleen functioneert als een lader zonder aanvullende mogelijkheden, liggen de primaire sterke punten ervan in zijn sandbox en virtuele machine -ontwijkingstechnieken en een DGA -implementatie die het C2 -domein afleidt op basis van de dag dat het wordt uitgevoerd,” zei Future.
Deze kenmerken, in combinatie met verduisteringstechnieken, stellen dreigingsactoren in staat om analyse te belemmeren en detectie -inspanningen te compliceren. De primaire verantwoordelijkheid van de malware is het downloaden van de volgende fase payload van een DGA-domein via HTTP via een PowerShell-script.
Ghostweaver is volgens een rapport van TRAC Labs eerder deze februari ontworpen om aanhoudende communicatie met zijn C2-server te behouden, DGA-domeinen te genereren op basis van een algoritme met een vast zaad op basis van het weeknummer en het jaar, en extra payloads te leveren in de vorm van plug-ins die de gegevens van de browser en het manipuleren van HTML-inhoud kunnen stalen.
“Met name kan Ghostweaver MintSloader implementeren als een extra payload via de opdracht SendPlugin. Communicatie tussen Ghostweaver en zijn command-and-control (C2) -server is beveiligd door TLS-codering met behulp van een Obfuscated, zelf ondertekende X.509-certificaat ingebed in het Powershell-script, die is geleverd voor de CRE-Infrastre-Authentication,”
De openbaarmaking komt als Kroll pogingen onthulde die door bedreigingsactoren werden gedaan om de initiële toegang te krijgen via een doorlopende campagnecodeaam Clearfake die clickfix gebruikt om slachtoffers te lokken in het uitvoeren van MSHTA -commando’s die uiteindelijk de Lumma Stealer Malware implementeren.
