Programari maliciós MintsLoader
Els investigadors de ciberseguretat han descobert una campanya activa que aprofita un carregador de programari maliciós conegut com MintsLoader. Aquesta amenaça basada en PowerShell s'ha utilitzat per distribuir càrregues útils secundàries, inclòs el robatori d'informació StealC i una plataforma legítima de codi obert anomenada BOINC. Mitjançant correus electrònics de correu brossa, MintsLoader utilitza enllaços a pàgines KongTuke o ClickFix o fitxers JScript maliciosos per accedir als sistemes de les víctimes. La campanya, detectada a principis de gener de 2025, s'ha dirigit principalment a sectors crítics com l'electricitat, el petroli i el gas, i els serveis legals als Estats Units i Europa.
Taula de continguts
Indicacions CAPTCHA falses: un punt d’entrada enganyós
La campanya aprofita una tendència creixent de tàctiques perjudicials, com ara abusar de les indicacions de verificació CAPTCHA falses. Aquestes pàgines enganyoses enganyen els usuaris perquè executin scripts de PowerShell compromesos fent-se passar per comprovacions de verificació humana rutinàries. Conegudes com a tècniques KongTuke i ClickFix, aquests atacs manipulen usuaris desprevinguts injectant scripts maliciosos als seus búfers de còpia/enganxa. Aleshores, es demana a les víctimes que enganxin i executin l'script a la finestra d'execució de Windows, completant la primera etapa d'infiltració dels atacants.
Com KongTuke injecta scripts fraudulents
KongTuke es basa en un mecanisme d'injecció d'scripts que fa que els llocs web orientats mostrin pàgines falses "verifiqueu que sou humà". Quan una víctima interactua amb aquestes pàgines, un script de PowerShell malèvol es carrega en silenci al seu porta-retalls. La pàgina proporciona instruccions explícites sobre com enganxar i executar l'script, fent que l'atac sigui senzill i efectiu. Una campanya relacionada que distribueix BOINC demostra com s'ha generalitzat aquesta tècnica enganyosa.
Cadena d’infecció sofisticada de MintsLoader
La cadena d'atac de MintsLoader comença amb un enllaç fraudulent enviat a través de correus electrònics de correu brossa. Quan es fa clic, l'enllaç baixa un fitxer JavaScript ofuscat. Aquest fitxer activa una ordre de PowerShell per descarregar MintsLoader mitjançant curl, executar-lo i esborrar-se del sistema per evitar la detecció. En camins d'atac alternatius, els usuaris són redirigits a pàgines d'estil ClickFix, on se'ls demana de nou que executin scripts a l'indicador d'execució de Windows.
Un cop desplegat, MintsLoader contacta amb un servidor d'ordres i control (C2) per descarregar més càrregues útils. Aquests scripts de PowerShell provisionals realitzen comprovacions del sistema per evadir els sandbox i altres eines d'anàlisi. El carregador també incorpora un algorisme de generació de dominis (DGA), que crea dinàmicament noms de domini C2 afegint el dia actual del mes a un valor inicial.
StealC: una càrrega útil potent amb exclusions regionals
La campanya d'atac culmina amb el desplegament de StealC , un robatori d'informació que s'ha comercialitzat com a part de l'ecosistema de programari maliciós com a servei (MaaS) des de principis de 2023. Probablement una variant redissenyada de l' Arkei Stealer , StealC compta amb un avançat tècniques d'evasió. Una característica notable són les seves capacitats d'orientació regional: evita infectar sistemes situats a Rússia, Ucraïna, Bielorússia, Kazakhstan i Uzbekistan, cosa que suggereix motius o limitacions específiques que guien el seu desenvolupament.
Creixent amenaces i vigilància dels usuaris
El descobriment de MintsLoader i les seves campanyes associades posa de manifest l'evolució de la sofisticació dels ciberatacs dirigits a indústries crítiques. Aprofitant la confiança mitjançant missatges CAPTCHA falsos i aprofitant mecanismes de lliurament complexos, els atacants continuen innovant els seus mètodes. A mesura que amenaces com aquestes creixen més avançades, la vigilància dels usuaris segueix sent una defensa vital per no caure víctimes d'aquests esquemes enganyosos.
