كشف الباحثون الأمنيون عن استخدام برنامج MintsLoader الخبيث (حملة تحميل ضارة) في نشر حصان طروادة GhostWeaver الذي يعتمد على PowerShell للوصول عن بُعد.
وذكرت مجموعة Insikt Group التابعة لـ Recorded Future في تقرير مشترك مع The Hacker News:
“يعمل MintsLoader عبر سلسلة إصابات متعددة المراحل تتضمن نصوص JavaScript و PowerShell مشفرة. يستخدم البرنامج الخبيث تقنيات التهرب من السندبوكس والآلات الافتراضية، بالإضافة إلى خوارزمية إنشاء النطاقات (DGA) واتصالات تحكم وتحكم (C2) تعتمد على HTTP.”
ووفقًا لشركة Orange Cyberdefense، فقد تم رصد حملات تصيد احتيالي وتنزيل خفي توزع MintsLoader منذ أوائل 2023. كما لوحظ أن البرنامج الخبيث يقوم بتحميل حمولات إضافية مثل StealC وإصدار معدل من عميل BOINC (بنية بيركلي المفتوحة للحوسبة الشبكية).
استهداف قطاعات صناعية وحملات تصيد متطورة
استغل القراصنة MintsLoader في عمليات احتيال إلكترونية مثل SocGholish (المعروف أيضًا باسم FakeUpdates) وLandUpdate808 (المعروف باسم TAG-124)، حيث يتم توزيعه عبر:
-
رسائل تصيد احتيالي تستهدف قطاعات الصناعة والقانون والطاقة.
-
نوافذ تحديث متصفح مزيفة.
في تطور لافت، استخدمت الموجات الأخيرة من الهجمات تقنية ClickFix الهندسية الاجتماعية، التي تخدع الزوار بنسخ وتنفيذ أكواد JavaScript و PowerShell الضارة. يتم توزيع روابط صفحات ClickFix عبر رسائل البريد العشوائي.
وأضاف Recorded Future:
“على الرغم من أن MintsLoader يعمل فقط كحملة تحميل دون قدرات إضافية، إلا أن نقاط قوته تكمن في تقنيات التهرب من التحليل الديناميكي (السندبوكس) وتنفيذ خوارزمية DGA التي تولد نطاقات C2 بناءً على اليوم الذي يتم تشغيله فيه.”
استخدام DGA و TLS لهجمات خفية
تساعد هذه الميزات، إلى جانب تقنيات التشفير، القراصنة على تعطيل التحليل وتعقيد جهود الكشف. تتمثل المهمة الرئيسية لـ MintsLoader في تنزيل الحمولة التالية من نطاق DGA عبر HTTP باستخدام نص PowerShell.
أما GhostWeaver، وفقًا لتقرير صادر عن TRAC Labs في فبراير الماضي، فهو مصمم لـ:
-
الحفاظ على اتصال دائم مع خادم C2.
-
إنشاء نطاقات DGA بناءً على خوارزمية ثابتة تعتمد على رقم الأسبوع والسنة.
-
تحميل حمولات إضافية على شكل إضافات (Plugins) تسرق بيانات المتصفح وتتلاعب بمحتوى HTML.
اتصالات مشفرة وحملات متزامنة
وأوضح Recorded Future:
“من الملاحظ أن GhostWeaver يمكنه نشر MintsLoader كحمولة إضافية عبر أمر sendPlugin. يتم تأمين الاتصال بين GhostWeaver وخادم C2 عبر تشفير TLS باستخدام شهادة X.509 موقعة ذاتيًا ومشفرة داخل نص PowerShell، مما يعزز مصادقة العميل على بنية C2.”
جاء هذا الكشف بالتزامن مع تقرير من Kroll يكشف عن محاولات قراصنة في حملة تسمى CLEARFAKE تستغل ClickFix لخداع الضحايا وتشغيل أوامر MSHTA التي تقوم في النهاية بنشر برنامج Lumma Stealer الخبيث.
