Новая кампания MintsLoader распространяет вредоносное ПО Stealc через скомпрометированные PEC-боксы

Цепочка заражения начинается с писем, отправленных со взломанных PEC-ящиков и содержащих ссылки на обфусцированные JavaScript-файлы.

Электронная почта PEC, используемая для кампании по распространению вредоносного ПО

Вредоносные субъекты, стоящие за кампанией, которая началась ночью, использовали 150 доменов для генерации URL-адресов, которые, первоначально неактивные, были активированы в рабочее время утром.

Идентификация конечной полезной нагрузки, распространяемой MintsLoader, всегда особенно сложна из-за серверных элементов управления, регулирующих выпуск последующих сценариев PowerShell.

В данном случае анализ JoeSandbox также обнаружил запрос к службе хостинга файлов temp[.]sh, хотя этот ресурс уже не был доступен. Однако благодаря хэшу файла удалось восстановить образец, идентифицированный как Stealc: вредоносная программа из категории похитителей информации, активная как Malware-as-a-Service (MaaS) с января 2023 года и предназначенная для утечки конфиденциальных данных из браузеров, расширений, криптовалютных кошельков, почтовых клиентов и других приложений.

IPv4

• 62.204.41.177

Domains

• giftcoolstuff.com
• gilpagan.com
• globalinvestingstrategy.com
• globalproductiondl.com
• glossaieducation.com
• gluteologyinc.com
• gmleverage.com
• goalzerostore.com
• godivaapp.com
• godotcentral.com
• gofreet.com
• gojoinffl.com
• goldenhoneyfarm.com
• goldmenpartners.com
• golfsbestbuys.com
• gordonnip.com
• gospelclasses.com
• gossipgirlworld.com
• gotabassoon.com
• gotphlegm.com
• graciousnailsspa.com
• gradedlanguagewriter.com
• graffiticlinic.com
• grassrootsschool.com
• grassvalleyautosales.com
• gratemadeleine.com
• gravepool.com
• greaterhoustonhomeloan.com
• greenpiecetshirts.com
• greenpropertymadison.com
• greenwaycarpetcleaningservice.com
• gregbuehler.com
• greggtobo.com
• grenzllc.com
• grimmovement.com
• gringoguac.com
• gritpixel.com
• growunitedkingdom.com
• grunt2tech.com
• grushjeweler.com
• gsfoxers.com
• gsmnpatnight.com
• gtcompanynews.com
• guerrillaprofessionals.com
• guiasbrasileirosnaalemanha.com
• guillaume-deprez.com
• gunnpowderseasoning.com
• guns-do-kill.com
• gustatoryrecipes.com
• gvbfinancial.com
• gvvalue.com
• gwinnettcountyra.com
• h2hmg.com
• hachtens.com
• haganon.com
• hala-events.com
• halalmela.com
• haleiwaboatrental.com
• halios-geron.com
• halojoyce.com
• hamptonsgetaway.com
• hangngoaicare.com
• hangphathouse.com
• hanmirae.com
• happilyeverashley.com
• happinesswellbeing.com
• happydogvitamins.com
• happynee.com
• haptastic.com
• harddeckind.com
• harmanandharman.com
• harmonictherapies.com
• harryrothstein.com
• harshitasultaniajewellery.com
• trucktirenearme.com
• trump2024not.com
• truth-realization.com
• trypoolio.com
• tsasportsmgmt.com
• tscapitals.com
• tshirtshatsandhoodies.com
• tulipsteesandmore.com
• turfcleaningexperts.com
• turnintonothing.com
• turnkey-officials.com
• turnpassionintocash.com
• tushkah.com
• tuskegeecompscialumni.com
• tvoedao.com
• twentyonetwo.com
• txsheds.com
• type-smash.com
• tyrannosauri.com
• tyriansec.com
• tysonkrugerprojects.com
• uae-products.com
• ucxfloortravel.com
• ufaslotmoney.com
• uitsfr.com
• uk-flood.com
• ulresearch.com
• ultimatestroke.com
• unbrokeme.com
• undergrounddefense.com
• underthegoansun.com
• unidosadistanciaalejandralopeznoriega.com
• unioneimmigration.com
• unionpodiatre.com
• unitedcprfoundation.com
• unturnedla.com
• upcaremed.com
• upfence.com
• upgradecountertops.com
• uppermerionhomes.com
• uptoward.com
• uradleather.com
• urban-auras.com
• urologialafloresta.com
• useyourwits.com
• uspaintservices.com
• utagai.com
• utahwaterheaterpros.com
• utilityexpostore.com
• uuron.com
• uvnation.com
• v1-zkbridge.com
• vacashrebate.com
• vacuumextractor.com
• vagijoy.com
• vajracode.com
• valueclassified.com
• valuevillagesucks.com
• vapouristvapeshop.com
• vavole.com
• vedparamarsh.com
• vegaonetech.com
• velbyjuice.com
• velvetvibemarketingagency.com
• vendoland.com
• verticalprofessionalsusa.com
• verticonstore.com
• vertigoindia.com
• veteranherohomes.com
• viajeseurovips.com
• victoriahilferty.com
• victortey.com
• videolaparoscopica.com
• viewbin.com
• vigorclip.com
• vikingur.com

URLs

• http://62.204.41.177/edd20096ecef326d.php
• http://temp.sh/utDKu/138d2a62b73e89fc4d09416bcefed27e139ae90016ba4493efc5fbf43b66acfa.exe

MD5

• 902c133812718bacf8e86a6d8bbeb22d
• 96fe713c811d23ccd1041a7231807fd1

SHA1

• 23ae2fdaf0c85b08e13ef68d925997c08a19a1f9
• e662df1ca681416fec732988233d6f8ef8ecc269

SHA256

• 138d2a62b73e89fc4d09416bcefed27e139ae90016ba4493efc5fbf43b66acfa
• bb5d23fa391c7a52f3d6d2c8170f43f864d006ef2f8b7b90b7064fb9c7dd609e