MintsLoaderはフィッシングやClickFix経由でGhostWeaverを配信し、DGAとTLSを使用してステルス攻撃を行う

記事本文（要約）

MintsLoaderというマルウェアローダーが、PowerShellベースのリモートアクセス型トロイの木馬「GhostWeaver」を配信するのに使われています。MintsLoaderは、難読化されたJavaScriptやPowerShellスクリプトを通じて多段階の感染チェーンを構築し、サンドボックスや仮想マシン回避技術、ドメイン生成アルゴリズム（DGA）、およびHTTPベースのC2通信を利用します。

フィッシングやドライブバイダウンロードのキャンペーンは、2023年初頭から観測されており、MintsLoaderはStealCやBOINCクライアントの改変版などを配信しています。さらに、犯罪サービスを提供する脅威アクターもこのローダーを利用しています。

最近の攻撃では、サイト訪問者を誘惑して悪意あるJavaScriptやPowerShellコードを実行させる「ClickFix」という社会工学的手法が使われ、これらの攻撃はスパムメールで広まっています。MintsLoader自体は追加機能を持たず、主に次の段階のペイロードをダウンロードする役割を担っていますが、解析を困難にする機能を有しています。

GhostWeaverは、DGAドメインの固定シードアルゴリズムを使い、ブラウザーデータの窃取やHTML内容の操作を行うプラグインを配信可能です。C2サーバーとの通信はTL暗号化とPowerShellスクリプト内の自己署名X.509証明書で保護されています。Krollは、ClickFixを使ったCLEARFAKEというキャンペーンで初期アクセスを狙う試みも報告しています。

※この要約はChatGPTを使用して生成されました。

公開日: Fri, 02 May 2025 14:27:00 +0530

Original URL: https://thehackernews.com/2025/05/mintsloader-drops-ghostweaver-via.html

詳細な技術情報

この文章では、MintsLoaderというマルウェアローダーを解析し、セキュリティに関する重要な情報を提供します。

CVE番号

記載されている脆弱性自体については直接的なCVE番号の言及はありません。ただし、MintsLoaderやGhostWeaverに関連する脆弱性が公式に登録されている場合には、適切なCVE番号がある可能性があります。また、使用されている技術やエクスプロイトが特定のCVEに関連する可能性もあります。

脆弱性の仕組み

マルチステージ感染チェーン: MintsLoaderは難読化されたJavaScriptとPowerShellスクリプトを使って感染を段階的に進めます。
サンドボックスと仮想マシンの回避技術: これにより、動的分析環境での検出を回避します。
ドメイン生成アルゴリズム (DGA): 日付に基づいたC2（コマンド・アンド・コントロール）ドメインの生成に利用されます。
HTTPベースのC2通信: 感染後、HTTPを使って次のペイロードをダウンロードします。

攻撃手法

フィッシングとドライブバイダウンロードキャンペーン: これらの手法を通じてMintsLoaderが配布されています。
Social Engineering（社会的工学）: 特にClickFixという手法を用いて、ユーザーに悪意のあるJavaScriptとPowerShellのコードを実行させます。
偽のブラウザー更新プロンプト: 被害者が誤ってマルウェアをダウンロードするよう誘導します。

潜在的な影響

異なるペイロードの配布: MintsLoaderはStealCのような情報窃取ツールやBOINCクライアントの変更版など、複数のペイロードを配布します。
データ窃取とシステム操作: GhostWeaverはブラウザーのデータを窃取し、HTMLコンテンツを操作する可能性があります。
持続的通信と偽装された通信: GhostWeaverはTLSで暗号化された通信を行い、持続的にC2サーバーと通信します。