MintsLoader Malware
Os pesquisadores de segurança cibernética descobriram uma campanha ativa alavancando um carregador de malware conhecido como MintsLoader. Essa ameaça baseada em PowerShell foi utilizada para distribuir payloads secundários, incluindo o ladrão de informações StealC e uma plataforma legítima de código aberto chamada BOINC. Entregue por e-mails de spam, o MintsLoader usa links para páginas KongTuke ou ClickFix ou arquivos JScript maliciosos para obter acesso aos sistemas das vítimas. A campanha, detectada no início de janeiro de 2025, teve como alvo principalmente setores críticos como eletricidade, petróleo e gás e serviços jurídicos nos Estados Unidos e na Europa.
Índice
Falsos Prompts CAPTCHA: Um Ponto de Entrada Capcioso
A campanha explora uma tendência crescente em táticas prejudiciais, como o abuso de prompts falsos de verificação de CAPTCHA. Essas páginas enganosas enganam os usuários para executar scripts comprometidos do PowerShell, fingindo ser verificações de rotina humanas. Conhecidas como técnicas KongTuke e ClickFix, esses ataques manipulam usuários desavisados, injetando scripts maliciosos em seus buffers de copiar/colar. As vítimas são então instruídas a colar e executar o script na janela Executar do Windows, completando o primeiro estágio de infiltração dos invasores.
Como o KongTuke Injeta Scripts Fraudulentos
O KongTuke depende de um mecanismo de injeção de script que faz com que sites alvo exibam páginas falsas de 'verifique se você é humano'. Quando uma vítima interage com essas páginas, um script malévolo do PowerShell é silenciosamente carregado em sua área de transferência. A página fornece instruções explícitas sobre como colar e executar o script, tornando o ataque simples e eficaz. Uma campanha relacionada distribuindo BOINC demonstra o quão disseminada essa técnica enganosa se tornou.
A Sofisticada Cadeia de Infecção do MintsLoader
A cadeia de ataque do MintsLoader começa com um link fraudulento entregue por e-mails de spam. Quando clicado, o link baixa um arquivo JavaScript ofuscado. Este arquivo aciona um comando do PowerShell para baixar o MintsLoader usando curl, executá-lo e apagar-se do sistema para evitar a detecção. Em caminhos de ataque alternativos, os usuários são redirecionados para páginas no estilo ClickFix, onde são novamente solicitados a executar scripts no prompt Executar do Windows.
Uma vez implantado, o MintsLoader contata um servidor Command-and-Control (C2) para baixar mais payloads. Esses scripts PowerShell provisórios realizam verificações do sistema para evitar sandboxes e outras ferramentas de análise. O carregador também incorpora um Domain Generation Algorithm (DGA), que cria dinamicamente nomes de domínio C2 adicionando o dia atual do mês a um valor de semente.
StealC: Uma Carga Útil Poderosa com Exclusões Regionais
A campanha de ataque culmina na implantação do StealC, um ladrão de informações que tem sido comercializado como parte do ecossistema Malware-as-a-Service (MaaS) desde o início de 2023. Provavelmente uma variante reprojetada do Arkei Stealer, o StealC ostenta técnicas avançadas de evasão. Uma característica notável são suas capacidades de segmentação regional — ele evita infectar sistemas localizados na Rússia, Ucrânia, Bielorrússia, Cazaquistão e Uzbequistão, sugerindo motivos ou restrições específicas que orientam seu desenvolvimento.
Ameaças Crescentes e Vigilância do Usuário
A descoberta do MintsLoader e suas campanhas associadas ressaltam a sofisticação em evolução dos ataques cibernéticos direcionados a setores críticos. Ao explorar a confiança por meio de prompts falsos de CAPTCHA e alavancar mecanismos de entrega intrincados, os invasores continuam a inovar seus métodos. À medida que ameaças como essas se tornam mais avançadas, a vigilância do usuário continua sendo uma defesa vital contra a queda de vítimas desses esquemas enganosos.
