37/68 (IT) ประจำวันอังคารที่ 28 มกราคม 2568
ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ออกมาเตือนเกี่ยวกับแคมเปญมัลแวร์ MintsLoader ที่กำลังแพร่กระจาย โดยมุ่งเป้าไปยังองค์กรภาคพลังงาน น้ำมันและก๊าซ รวมถึงบริการด้านกฎหมายในสหรัฐอเมริกาและยุโรป ทั้งนี้ MintsLoader ถูกออกแบบมาเพื่อโหลดมัลแวร์รอง เช่น StealC ตัวขโมยข้อมูล และ BOINC แพลตฟอร์มคอมพิวเตอร์แบบโอเพนซอร์สที่ถูกดัดแปลงใช้ในทางที่ผิด
บริษัท eSentire เปิดเผยว่า MintsLoader ใช้สคริปต์ PowerShell ในการโจมตี โดยถูกส่งผ่านอีเมลขยะที่มีลิงก์ไปยังเพจปลอม (ClickFix หรือ KongTuke) หรือแนบไฟล์ JScript การโจมตีเริ่มต้นเมื่อผู้ใช้งานคลิกลิงก์ในอีเมล ก่อนจะถูกเปลี่ยนเส้นทางไปยังเพจที่แสดงการยืนยัน CAPTCHA ปลอม ซึ่งหลอกให้ผู้ใช้คัดลอกและวางสคริปต์ PowerShell ที่อันตราย สคริปต์ดังกล่าวจะดาวน์โหลด MintsLoader ลงในระบบ จากนั้นมัลแวร์จะลบตัวเองเพื่อปกปิดร่องรอย ก่อนติดต่อเซิร์ฟเวอร์ควบคุม (C2) เพื่อสั่งการและหลีกเลี่ยงการตรวจจับ ซึ่งการโจมตีครั้งนี้ใช้เทคนิคการสร้างโดเมน C2 แบบอัตโนมัติ (Domain Generation Algorithm – DGA) ซึ่งเปลี่ยนแปลงชื่อโดเมนตามวันที่ เพื่อเลี่ยงการตรวจจับจากระบบความปลอดภัย นอกจากนี้ MintsLoader ยังตรวจสอบระบบเป้าหมายเพื่อหลีกเลี่ยงแซนด์บ็อกซ์และการวิเคราะห์ด้วย
แคมเปญนี้ยังเชื่อมโยงกับการพัฒนา JinxLoader เวอร์ชันใหม่ ที่เรียกว่า Astolfo Loader (หรือ Jinx V3) ซึ่งเขียนขึ้นใหม่ด้วย C++ เพื่อเพิ่มประสิทธิภาพ โดยการพัฒนาครั้งนี้มาจากการที่โค้ดต้นฉบับของ JinxLoader ถูกขายต่อในฟอรัมแฮกเกอร์ และอีกหนึ่งแคมเปญที่น่ากังวลคือ GootLoader ซึ่งโจมตีด้วยการปรับแต่งผลการค้นหาในเครื่องมือ SEO เพื่อล่อลวงเหยื่อไปยังเว็บไซต์ปลอม โดยใช้แพลตฟอร์ม WordPress ที่ถูกบุกรุก เหยื่อจะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บไซต์ปลอมเพื่อดาวน์โหลดไฟล์มัลแวร์ ซึ่ง Sophos รายงานว่าแคมเปญ GootLoader มีการกำหนดเป้าหมายที่อยู่ IP และบล็อกการเข้าถึงซ้ำจากผู้เยี่ยมชมใน 24 ชั่วโมง ทำให้เจ้าของเว็บไซต์มักไม่ทราบว่าหน้าเว็บไซต์ของตนเองถูกดัดแปลง
แหล่งข่าว https://thehackernews.com/2025/01/mintsloader-delivers-stealc-malware-and.html
