MintsLoader — это загрузчик на базе PowerShell, распространяемый через спам-рассылки. После клика по вложенной ссылке пользователи загружают обфусцированный JavaScript-файл, который активирует команду PowerShell для скачивания MintsLoader и его выполнения. Вредоносная программа способна самостоятельно деинсталлироваться, чтобы избежать обнаружения.
Особенностью кампании является использование поддельных CAPTCHA. Жертвы копируют и выполняют вредоносный PowerShell-скрипт, загруженный в их буфер обмена, следуя «инструкциям» на экране. Эти методы обмана, известные как ClickFix и KongTuke, активно используются злоумышленниками.
Загрузчик MintsLoader связывается с командным сервером для получения промежуточных полезных нагрузок. Программа тщательно избегает песочниц и аналитических систем благодаря использованию алгоритма генерации доменов (DGA), который ежедневно изменяет адрес командного сервера.
Итогом атаки становится установка StealC — мощного инструмента для кражи информации. Этот вредоносный код работает по модели «вредоносное ПО как услуга» (MaaS) с начала 2023 года.
MintsLoader выделяется необычным подходом к проверке среды выполнения: он анализирует аппаратные характеристики устройства, такие как тип видеоконтроллера, объём кеша процессора и общее количество процессорных ядер. Например, если устройство имеет только одно ядро или объем памяти менее 1111 МБ, загрузчик считает, что это виртуальная машина, и завершает свою работу.
Такая стратегия позволяет MintsLoader избегать анализа в песочницах и на исследовательских системах, повышая эффективность кампании. Кроме того, для доставки финальной полезной нагрузки злоумышленники используют временные хостинг-сервисы, что затрудняет отслеживание цепочки атаки.