MintsLoader: Доставляет StealC и BOINC

Команда TRU (отдел реагирования на угрозы) компании eSentire представила краткое описание своего последнего расследования угроз. Они обнаружили кампанию, связанную с вредоносной программой MintsLoader, которая доставляет полезную нагрузку второго этапа, такую как Stealc и клиент Berkeley Open Infrastructure for Network Computing (BOINC).

Описание

MintsLoader - это загрузчик вредоносных программ на базе PowerShell, который распространяется через спам-письма со ссылкой на Kongtuke/ClickFix или файл JScript. Цели атаки включают электроэнергетические компании, нефтегазовую отрасль, юридические фирмы и другие.

Процесс заражения MintsLoader начинается с того, что пользователь нажимает на ссылку в спам-сообщении, которое загружает файл JScript. Далее в сценарии происходит создание объекта WScript.Shell и выполнение команды PowerShell для загрузки первого этапа MintsLoader с помощью команды curl. После этого сценарий удаляет себя, чтобы затруднить анализ вредоносного файла. Далее следует выполнение следующего этапа MintsLoader с помощью PowerShell, и таким образом система заражается вредоносным ПО.

Сценарий MintsLoader также проверяет, является ли система виртуальной машиной, используя команду Get-MpComputerStatus. Затем он проверяет тип видеоконтроллера и определяет, является ли машина виртуальной или физической. Для идентификации виртуальных машин сценарий также использует запрос Win32_CacheMemory.

После всех проверок MintsLoader использует алгоритм генерации доменов с начальным значением, основанным на текущем дне месяца и константе, чтобы обойти анализ вредоносного ПО. Затем сценарий отправляет информацию на C&C-сервер и выполняет другие задачи, связанные с вредоносным ПО.

Indicators of Compromise

IPv4

• 145.223.100.233
• 45.61.136.138
• 62.204.41.177
• 67.217.228.118

Domains

• adkfnnbmakcgael.top
• afglgehgjgjmgdh.top
• afnfdijahijefmh.top
• anldfaggmdbglen.top
• bfhdkgmmhdbikgj.top
• bidjdlegcnincee.top
• blclmjamegjaffd.top
• bnbuzu49ibz4.top
• canjjclmlnicbga.top
• ccibchdgfjbhhfk.top
• ckahaebgighbngc.top
• cmacnnkfbhlcncm.top
• dckhgjimeghemhl.top
• diebinjmajbkhhg.top
• ekbnfghmhcaldid.top
• feheecfmkmhfiij.top
• fnnkcnemajnnaja.top
• gajaechkfhfghal.top
• gbkiafbmhbmbkkl.top
• ghecbjcmdfghfkg.top
• gkn33hxueub.top
• hhgiflifcbmdjmh.top
• hjbamcnnkmfjbld.top
• hkinuxb3bz.top
• iblaehgffmflamn.top
• idhglmmnaimdhlj.top
• immmjjkndeekmma.top
• jejmbadfmeenlnk.top
• jgeeifjnhbledmg.top
• jhubzgv3.top
• jjdgdeffjimfgne.top
• kcehmenjdibnmni.top
• kdemjgebjimkanl.top
• kmaealcfcalhcac.top
• lalclenfjhkinbn.top
• lgbibzuehbz.top
• lggknhaffleahbh.top
• mbuz73hb7z3.top
• mdinjlkfcajkjck.top
• midhkalfmddcece.top
• mnudybh4unh.top
• mnvuz3gvy3.top
• mubuzb3vvv.top
• nfuvueibzi4.top
• ngub8zb38ib.top
• nlafhhiffkceadc.top
• nubxz4ubhxz9i.top
• nuvye89bjz4.top
• ohunhebzhbu3.top
• poeiughybzu222.top
• poubnxu3jubz.top
• rosettahome.top
• sdubvlbbuz3vzzz.top
• shd9inbjz4.top
• tubnzy3uvz.top
• usbkits.com
• xaides.com

URLs

• http://62.204.41.177/edd20096ecef326d.php
• http://mubuzb3vvv.top/1.php?s=527
• https://t1jm05fdu6748emu5oon8nix1uk2ogyn.lovesnextmeeting.com/Uswl5JAnXI

SHA256

• 138d2a62b73e89fc4d09416bcefed27e139ae90016ba4493efc5fbf43b66acfa
• 91e405e8a527023fb8696624e70498ae83660fe6757cef4871ce9bcc659264d3
• B8804a7ef09a9c1e8ede3a86a087b754b42f5b37c6de1e82c86f38d01c297ee2