MintsLoader マルウェア

サイバーセキュリティ研究者は、MintsLoader と呼ばれるマルウェア ローダーを利用したアクティブなキャンペーンを発見しました。この PowerShell ベースの脅威は、StealC 情報窃盗プログラムや BOINC と呼ばれる正当なオープンソース プラットフォームなどの二次ペイロードの配布に利用されています。スパム メールを介して配信される MintsLoader は、KongTuke または ClickFix ページへのリンク、または悪意のある JScript ファイルを使用して、被害者のシステムにアクセスします。2025 年 1 月初旬に検出されたこのキャンペーンは、主に米国とヨーロッパの電力、石油、ガス、法務サービスなどの重要なセクターをターゲットにしています。

偽の CAPTCHA プロンプト: 欺瞞的なエントリ ポイント

このキャンペーンは、偽の CAPTCHA 検証プロンプトを悪用するなど、有害な戦術の増加傾向を悪用しています。これらの欺瞞的なページは、日常的な人間による検証チェックを装い、ユーザーを騙して侵害された PowerShell スクリプトを実行させます。KongTuke および ClickFix テクニックとして知られるこれらの攻撃は、コピー/貼り付けバッファに悪意のあるスクリプトを挿入することで、疑いを持たないユーザーを操作します。その後、被害者は Windows の [実行] ウィンドウにスクリプトを貼り付けて実行するように指示され、攻撃者の侵入の第一段階が完了します。

KongTuke が不正なスクリプトを挿入する方法

KongTuke は、スクリプト インジェクション メカニズムを利用して、標的の Web サイトに偽の「人間であることを確認する」ページを表示させます。被害者がこれらのページを操作すると、悪意のある PowerShell スクリプトが密かにクリップボードに読み込まれます。このページには、スクリプトを貼り付けて実行する方法が明確に説明されているため、攻撃はシンプルかつ効果的です。BOINC を配布する関連キャンペーンは、この欺瞞的な手法がいかに広まっているかを示しています。

MintsLoader の洗練された感染チェーン

MintsLoader の攻撃チェーンは、スパムメールを通じて配信される不正なリンクから始まります。リンクをクリックすると、難読化された JavaScript ファイルがダウンロードされます。このファイルは PowerShell コマンドをトリガーし、curl を使用して MintsLoader をダウンロードして実行し、検出を回避するためにシステムから自身を消去します。別の攻撃パスでは、ユーザーは ClickFix スタイルのページにリダイレクトされ、Windows の [実行] プロンプトでスクリプトを実行するように再度求められます。

MintsLoader は展開されると、コマンド アンド コントロール (C2) サーバーに接続して、さらにペイロードをダウンロードします。これらの中間 PowerShell スクリプトは、サンドボックスやその他の分析ツールを回避するためにシステム チェックを実行します。ローダーには、現在の日付をシード値に追加して C2 ドメイン名を動的に作成するドメイン生成アルゴリズム (DGA) も組み込まれています。

StealC: 地域限定の強力なペイロード

攻撃キャンペーンは、2023 年初頭からマルウェア・アズ・ア・サービス (MaaS) エコシステムの一部として販売されている情報窃盗マルウェア StealCの展開で最高潮に達します。Arkei Stealerの再設計された亜種であると思われる StealC は、高度な回避技術を誇ります。注目すべき特徴の 1 つは、地域をターゲットにする機能です。ロシア、ウクライナ、ベラルーシ、カザフスタン、ウズベキスタンにあるシステムへの感染を回避しており、開発の指針となる特定の動機または制約を示唆しています。

増大する脅威とユーザーの警戒

MintsLoader とそれに関連する攻撃の発見は、重要な業界を狙ったサイバー攻撃がますます巧妙化していることを浮き彫りにしています。偽の CAPTCHA プロンプトで信頼を悪用し、複雑な配信メカニズムを活用することで、攻撃者は手法を革新し続けています。このような脅威が高度化するにつれて、ユーザーによる警戒は、こうした欺瞞的な計画の犠牲者にならないための重要な防御策となります。