После продолжительного летнего затишья эксперты по кибербезопасности зафиксировали возобновление активности кампании MintsLoader. Первая после июня атака была обнаружена накануне, что свидетельствует о возвращении злоумышленников к работе после сезонной паузы.
Описание
По сравнению с предыдущими волнами, шаблон электронного письма претерпел лишь незначительные изменения, сохраняя при этом уже известную схему. Ключевое отличие заключается в способе доставки вредоносного содержимого: вместо привычной гиперссылки на слово "Счёт" письмо теперь содержит прикреплённый ZIP-архив. Внутри сжатого файла находится замаскированный JavaScript, который инициирует цепочку компрометации системы. Это изменение тактики указывает на адаптацию злоумышленников к мерам безопасности и их стремление обойти традиционные защиты.
Как и в предыдущих кампаниях, данная атака сохраняет характер распространения: сообщения рассылаются со скомпрометированных PEC-ящиков (сертифицированной электронной почты) на PEC-адреса получателей. Злоумышленники используют доверие к сертифицированному каналу связи для повышения credibility и эффективности атаки. Получатели с большей вероятностью открывают вложения, если они приходят с официальных и проверенных адресов, что делает такие атаки особенно опасными.
Конечная цель атаки - компрометация систем жертв, в частности компьютеров под управлением Windows (версии 10 и новее). Для запуска цепочки заражения используется доступность команды cURL в системе, которая применяется для загрузки и установки вредоносного программного обеспечения. Как правило, устанавливаемые зловреды принадлежат к категории инфостилеров (infostealer), предназначенных для кражи конфиденциальной информации с заражённых устройств.
Интересно отметить, что злоумышленники сохраняют прежнюю временную стратегию, описанную в предыдущем предупреждении CERT-AGID. Возобновление активности совпадает с периодом возвращения сотрудников к работе после летних отпусков, когда бдительность пользователей может быть снижена, а количество деловой переписки увеличивается. Такое совпадение не является случайным и свидетельствует о продуманном подходе к выбору времени для атак.
Эксперты рекомендуют организациям усилить бдительность в отношении писем, поступающих даже с доверенных PEC-адресов, особенно если они содержат вложения. Необходимо обеспечить актуальное антивирусное ПО, регулярно обновлять системы и проводить обучение сотрудников по вопросам кибербезопасности. Особое внимание следует уделить проверке вложенных архивов и скриптовых файлов, которые могут представлять потенциальную угрозу.
Обнаружение новой кампании MintsLoader подтверждает, что киберпреступники продолжают адаптировать свои методы, используя социальную инженерию и доверенные каналы связи для повышения эффективности атак. Сохранение временных закономерностей указывает на системный подход злоумышленников к планированию своих операций, что требует постоянного системного подхода к защите от таких угроз.
Индикаторы компрометации
Domains
- afraid.marqory.com
- b2yqkb9544mqg1e.top
- bora-bora2025.com
- todaynews123.com
- totalisator.maritapierce.com
- youtiptop25.com
URLs
- http://b2yqkb9544mqg1e.top/e6mi7kot3ghtr.php
- http://bora-bora2025.com/1.php
- http://bora-bora2025.com/1.php?s=4421AD55-67AA-4A10-8846-09C02BC65B81
- http://todaynews123.com/1.php
- http://youtiptop25.com/1.php?s=FA70D7F4-A02E-4C4F-A96B-A8E19BCE0240
- https://afraid.marqory.com/1MDlKbewNg
- https://totalisator.maritapierce.com/kzBwKy7YKj
MD5
- 15d46166c6abdd79e80431cbe195ad21
- 240949d6d53abface9d2ab38db0ef6ac
- 2c3ca15803ea15298519ddbde73ca547
- 33568eee85c6c32696b6c22c2e5fc575
- 61d95ef1be103f582b2c84f15c096b06
- 68a8e24be3a2f724053f70b64b0c3699
- 79f7fa067c487c81c77a8dbc187b0bc3
- b012bcb4420f4b487884d14a62283bfc
- bbb6f124a31afee3f4de33c62b599d14
SHA1
- 0db248b52c77b24aa7a44125bafbdba958f17619
- 1e79f71891c6c717e6b6a1798f07c95b438c149a
- 24d73eff44e2af68bc760cd15064d9a6fd26e1f3
- 53605e7c2e6bb408a3578deae3e5f2f1a585420f
- 64d975264210fe81d50e1654dd07054970e058e0
- 80fe07cfe31170451963f18324a67734895e9518
- 8abdf3c6f418c48f74bc3d488341515740fba306
- ca3e5c75d3ab44fedcf2897fdfe99b784cd2ccb7
- cf58c2e6266829805eaf010cf565a26dd071bc59
SHA256
- 0d9d0793939b23aaa45a793b2081dc540d6c42e653d18a343227a323167cea26
- 4e1eb3a7e2aa514c82bb0ea46ed90bd354e686beed437f8e15bf449f77ee8775
- 691bbf1d95c779fe266c2a6c1f62acba81a884febbf53f39c24ff6fe570870ff
- 7f78e6ad311e08a67949376d6464da89cc4ce31e190178afed163e4112d770e4
- 96a7597843054847c030d9331ec1f0d0d195a7cb28be7b89b12819422b6206d3
- a215c543d7b996a96a62eaaa5bddafce171b7fd95f4c399a55402cb569747ce4
- b9baa7c13c21993aaba5e9f4739b5d0c3fcd8bae4aed724b5232a25752fc8500
- d09ab26f2b76152b54f8d5e29967490d28ff6fa9c207a7b97b024d1a64c56997
- f061edfd2e3ff56da6d346ab4ab979877fac880c4f04997ea1750ce94eae5229
