MintsLoader: minaccia avanzata con StealC e BOINC

di Livio Varriale
0 commenti 2 minuti di lettura
MintsLoader

La recente indagine condotta da eSentire Threat Response Unit (TRU) ha scoperto una campagna malevola che utilizza MintsLoader, un loader basato su PowerShell, per distribuire i payload StealC e il client BOINC (Berkeley Open Infrastructure for Network Computing). Questi attacchi, mirati principalmente a settori chiave come elettricità, petrolio, gas e servizi legali in Stati Uniti ed Europa, dimostrano come i criminali informatici combinino tecniche avanzate di evasione e strumenti dannosi per compromettere le reti aziendali.

Dettagli tecnici della minaccia

MintsLoader viene distribuito principalmente tramite e-mail di spam contenenti link a file JScript, con nomi come “Fattura[0-9]{8}.js”. Una volta eseguito, il malware utilizza il comando PowerShell curl per scaricare e avviare il primo stadio dell’attacco, eliminando poi i file temporanei per ridurre le tracce.

Caratteristiche principali

  • Evasione delle VM: MintsLoader rileva macchine virtuali tramite oggetti WMI come Get-MpComputerStatus e Win32_VideoController, interrompendo l’esecuzione su ambienti virtuali per evitare analisi.
  • DGA (Domain Generation Algorithm): Genera automaticamente domini C2 (command and control) utilizzando algoritmi basati sulla data del giorno, rendendo difficile il blocco delle comunicazioni.
  • Payload finale: StealC: Un malware progettato per rubare dati sensibili come credenziali, dati finanziari e informazioni di wallet crittografici, utilizzando tecniche di crittografia XOR per nascondere le sue attività.

BOINC: un uso malevolo di un software legittimo

image 381
MintsLoader: minaccia avanzata con StealC e BOINC 7

Il client BOINC, solitamente utilizzato per il calcolo distribuito in progetti scientifici, viene utilizzato dai cybercriminali per eseguire calcoli complessi e processi malevoli su macchine compromesse. Questo sfruttamento evidenzia come anche strumenti legittimi possano essere trasformati in armi informatiche.

Raccomandazioni per la protezione

Per mitigare i rischi legati a MintsLoader e StealC, è fondamentale adottare misure preventive e di risposta rapida:

  1. Bloccare esecuzioni sospette: Disabilitare strumenti come wscript.exe e mshta.exe tramite criteri di AppLocker o Windows Defender Application Control (WDAC).
  2. Implementare controlli EDR: Soluzioni avanzate di rilevamento e risposta agli endpoint sono cruciali per identificare e bloccare attività anomale.
  3. Formazione sulla sicurezza: I dipendenti devono essere formati per riconoscere e segnalare tentativi di phishing e link sospetti.

Gli Indicatori di Compromissione (IoC) relativi alla campagna possono essere consultati su GitHub.

MintsLoader rappresenta una minaccia avanzata che combina evasione, crittografia e tecniche di dissimulazione per compromettere reti aziendali. La sua integrazione con malware come StealC e l’uso improprio di BOINC dimostrano l’ingegno dei cybercriminali nel superare le difese tradizionali. Solo un approccio proattivo alla cybersicurezza può ridurre l’impatto di attacchi così sofisticati.

Articoli correlati

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies