MintsLoader kampány
Az eSentire Threat Response Unit (TRU) egy aktív kampányt azonosított, amelyben a MintsLoader PowerShell-alapú malware loadert és a StealC infostealert és a Berkeley Open Infrastructure for Network Computing (BOINC) klienst terjeszti.
A támadók spam e-maileket küldenek, amelyekben hivatkozások találhatók olyan oldalakra, mint a Kongtuke vagy a ClickFix, vagy JScript fájlokat csatolnak. A letöltött JScript fájl neve a “Fattura [0-9]{8}.js” mintát követi. A fájl obfuszkált kódot tartalmaz, amely végrehajtáskor egy 13 másodperces késleltetés után PowerShell parancsot futtat a MintsLoader első szakaszának letöltésére.A MintsLoader loader egy Domain Generation Algorithm (DGA) segítségével dinamikusan generálja a vezérlőszerverek domain neveit, és anti-virtuális gép technikákat alkalmaz a sandboxok és malware kutatók elkerülésére.
A MintsLoader különböző payloadokat tölt le és futtat, így a StealC malware-t, amely érzékeny adatokat gyűjt az áldozat rendszeréről és a BOINC klienst, ami egy nyílt forráskódú platform, amelyet általában tudományos számításokhoz használnak. A támadók valószínűleg a BOINC-ot használják erőforrás-igényes feladatok végrehajtására az áldozat gépén, például kriptobányászatra.
Az Egyesült Államokban és Európában több iparág is érintett, beleértve az elektromos áram-, olaj- és gázipart, valamint jogi szolgáltatásokat nyújtó cégeket.
A eSentire TRU megosztotta az azonosításhoz szükséges mutatókat.