Malware MintsLoader
Los investigadores de ciberseguridad han descubierto una campaña activa que aprovecha un cargador de malware conocido como MintsLoader. Esta amenaza basada en PowerShell se ha utilizado para distribuir cargas útiles secundarias, incluido el ladrón de información StealC y una plataforma legítima de código abierto llamada BOINC. MintsLoader, que se distribuye a través de correos electrónicos no deseados, utiliza enlaces a páginas de KongTuke o ClickFix o archivos JScript maliciosos para obtener acceso a los sistemas de las víctimas. La campaña, detectada a principios de enero de 2025, se ha dirigido principalmente a sectores críticos como la electricidad, el petróleo y el gas y los servicios legales en Estados Unidos y Europa.
Tabla de contenido
Falsos mensajes CAPTCHA: un punto de entrada engañoso
La campaña explota una tendencia creciente en tácticas dañinas, como el uso abusivo de mensajes de verificación CAPTCHA falsos. Estas páginas engañosas engañan a los usuarios para que ejecuten scripts de PowerShell comprometidos haciéndose pasar por comprobaciones de verificación humanas de rutina. Estos ataques, conocidos como técnicas KongTuke y ClickFix, manipulan a los usuarios desprevenidos inyectando scripts maliciosos en sus búferes de copia y pegado. A continuación, se les indica a las víctimas que peguen y ejecuten el script en la ventana Ejecutar de Windows, completando así la primera etapa de infiltración de los atacantes.
Cómo KongTuke inyecta scripts fraudulentos
KongTuke se basa en un mecanismo de inyección de scripts que hace que los sitios web seleccionados muestren páginas falsas que solicitan que se verifique que se es humano. Cuando una víctima interactúa con estas páginas, un script malicioso de PowerShell se carga silenciosamente en su portapapeles. La página proporciona instrucciones explícitas sobre cómo pegar y ejecutar el script, lo que hace que el ataque sea simple y efectivo. Una campaña relacionada que distribuye BOINC demuestra cuán extendida se ha vuelto esta técnica engañosa.
La sofisticada cadena de infección de MintsLoader
La cadena de ataque de MintsLoader comienza con un enlace fraudulento enviado a través de correos electrónicos no deseados. Al hacer clic en el enlace, se descarga un archivo JavaScript ofuscado. Este archivo activa un comando de PowerShell para descargar MintsLoader mediante curl, ejecutarlo y borrarse del sistema para evitar ser detectado. En otras rutas de ataque, se redirige a los usuarios a páginas de estilo ClickFix, donde se les vuelve a solicitar que ejecuten scripts en el indicador de ejecución de Windows.
Una vez implementado, MintsLoader se comunica con un servidor de Comando y Control (C2) para descargar más cargas útiles. Estos scripts de PowerShell provisionales realizan comprobaciones del sistema para evadir los entornos aislados y otras herramientas de análisis. El cargador también incorpora un algoritmo de generación de dominios (DGA), que crea dinámicamente nombres de dominio C2 agregando el día actual del mes a un valor inicial.
StealC: una potente carga útil con exclusiones regionales
La campaña de ataque culmina con el despliegue de StealC , un ladrón de información que se ha comercializado como parte del ecosistema de Malware-as-a-Service (MaaS) desde principios de 2023. Probablemente una variante rediseñada de Arkei Stealer , StealC cuenta con técnicas de evasión avanzadas. Una característica notable es su capacidad de selección regional: evita infectar sistemas ubicados en Rusia, Ucrania, Bielorrusia, Kazajstán y Uzbekistán, lo que sugiere motivos o limitaciones específicas que guían su desarrollo.
Amenazas crecientes y vigilancia de los usuarios
El descubrimiento de MintsLoader y sus campañas asociadas pone de relieve la creciente sofisticación de los ciberataques dirigidos a sectores críticos. Los atacantes siguen innovando sus métodos aprovechando la confianza a través de mensajes CAPTCHA falsos y aprovechando intrincados mecanismos de entrega. A medida que este tipo de amenazas se vuelven más avanzadas, la vigilancia del usuario sigue siendo una defensa vital para no ser víctima de estos esquemas engañosos.
