揭露 MintsLoader:深入解析最新惡意軟體威脅

eSentire 威脅回應部門 (TRU) 發布了一份報告,詳細介紹了 MintsLoader 惡意軟體活動,該活動提供了 StealC 資訊竊取程式和 Berkeley Open Infrastructure for Network Computing Client。 該報告對 MintsLoader 的功能進行了技術分析,包括其網域生成演算法(Domain Generation Algorithm, DGA)和反虛擬機器技術(Anti-Virtual Machine )。 eSentire 的回應包括控制感染並提供 補救指導以及防止類似攻擊的建議。

深入解析最新惡意軟體MintsLoader | 資訊安全新聞

關鍵技術細節

該報告對 MintsLoader 惡意軟體進行了詳細分析,包括其功能、網域生成演算法 和反虛擬機器技術。它概述了 eSentire 的威脅反應部門 (TRU) 如何識別和應對威脅。 以下是該報告關鍵技術細節的細分:
  • MintsLoader 發送(Delivery): 惡意軟體透過包含 JScript 檔案連結的垃圾郵件或透過 ClickFix/KongTuke 網頁進行傳播。
    • JScript 檔案(通常名稱為「Fattura Fattura[0-9]{8}.js」)下載並執行 PowerShell 指令,以擷取 MintsLoader 的第一階段。
    • 初始 JScript 檔案在執行後會自行刪除,這可能會妨礙分析。
  • 混淆: MintsLoader 使用多層混淆。
    • 來自命令和控制 (C2) 伺服器的初始回應是混淆的 PowerShell,它使用 Invoke-Expression (iex) 執行下一階段。
    • PowerShell 的後續階段也被混淆,使用諸如將整數陣列解碼為其等效的 ASCII 值等技術。
  • 反虛擬機器技術: MintsLoader 採用多種技術來偵測和逃避虛擬機器。
    • 它檢查 Get-MpComputerStatus cmdlet 的 IsVirtualMachine 屬性。
    • 它查詢 Win32_VideoController 物件的 AdapterDACType 屬性,尋找標識虛擬機器的特定字串(例如「VMware」、「Bochs」、「SeaBIOS」)。它還檢查是否存在“內部”或“整合”來識別實體機器。
    • 惡意軟體檢查 Win32_CacheMemory 物件的 Purpose 屬性,尋找類似「L1」或長度小於 4 個字元的值,這些值是虛擬機器的指標。
  • 網域產生演算法 (DGA): MintsLoader 使用 DGA 產生 C2 伺服器網域。
    • DGA 使用基於目前月份日期加上常數的種子值(Seed value)。
    • 它重複 15 次,使用隨機物件和「abcdefghijklmn」字元陣列建立網域名稱。
    • 產生的網域附加有“.top”的頂級域名。
    • 該報告還提供了活動中發現的所有可能的 DGA 產生的網域的清單。
  • Payload 派送: 產生 C2 網域後,MintsLoader 從檔案託管網站下載Payload並執行它。在報告描述的案例中,這個payload是資訊竊取程式StealC的封裝樣本。
  • StealC 資訊竊取程式: 報告中還詳細說明了 MintsLoader 如何傳播資訊竊取程式 StealC。
    • StealC 以惡意軟體即服務 (MaaS) 出售。
    • 它的目標是機敏數據,包括來自網頁瀏覽器、擴充功能、應用程式、加密錢包和電子郵件用戶端的財務資料、密碼和代幣。
    • StealC 使用 XOR 加密字串來躲避靜態分析。
    • 它還包含檢查,以避免在具有某些語言設定的系統上運行,這些系統具有單個處理器核心,記憶體少於1111 MB,或分辨率低於666.
    • StealC 根據 C:\ 磁碟機磁碟區序號產生硬體 ID (HWID) 來過濾被竊日誌。
    • 該報告包括 StealC 向其 C2 發出的初始 HTTP POST 請求。

eSentire 回應行動

該報告還包括關於 eSentire 回應行動的部分,以及如何減輕此威脅的建議,包括停用執行提示、wscript.exe 和 mshta.exe,以及採用電子郵件過濾和保護措施和使用者教育計畫。該報告還提供了妥協指標和其他相關文章的參考。