Los cazadores de amenazas han detallado una campaña en curso que aprovecha un cargador de malware llamado MintsLoader para distribuir cargas útiles secundarias como el robador de información de STEALC y una plataforma de computación de red de código abierto legítima llamada BOINC.
“MintsLoader es un cargador de malware basado en PowerShell que se ha visto entregados a través de correos electrónicos de spam con un enlace a las páginas Kongtuke/ClickFix o un archivo JScript”, la firma de ciberseguridad Esentire dicho en un análisis.
La campaña ha dirigido la electricidad, el petróleo y el gas, y los sectores de servicios legales en los Estados Unidos y Europa, según la compañía, que detectó la actividad a principios de enero de 2025.
El desarrollo se produce en medio de un aumento en las campañas maliciosas que abusan de las falsas indicaciones de verificación de Captcha para engañar a los usuarios para que copien y ejecutan los scripts de PowerShell para sortear los cheques, una técnica que se sabe que se conoce a ClickFix y Kongtuke.
“Kongtuke involucra un script inyectado que actualmente hace que los sitios web asociados muestren las páginas falsas ‘Verifique que sean humanos’, la unidad de Palo Alto Networks 42 dicho En un informe que detalla una campaña similar que distribuye BOINC.
“Estas páginas de verificación falsas cargan el búfer de copia/pegado de Windows de una víctima potencial con un script de PowerShell malicioso. La página también ofrece instrucciones detalladas para pedirles a las víctimas potenciales que peguen y ejecuten el script en una ventana de ejecución”.
La cadena de ataque documentada por Esentire comienza cuando los usuarios hacen clic en un enlace en un correo electrónico spam, lo que lleva a la descarga de un archivo JavaScript ofuscado. El script es responsable de ejecutar un comando PowerShell para descargar MintsLoader a través de Curl y ejecutarlo, después de lo cual se elimina del host para evitar dejar trazas.
Las secuencias alternativas redirigen los destinatarios del mensaje a páginas de estilo ClickFix que conducen a la entrega de MintsLoader por medio de la solicitud de ejecución de Windows.
El malware del cargador, a su vez, contacta a un servidor de comando y control (C2) para obtener cargas útiles intermedios de PowerShell que realiza varios cheques para evadir las cajas de arena y resistir los esfuerzos de análisis. También presenta un algoritmo de generación de dominio (DGA) con un valor de semilla basado en la adición del día actual del mes para crear el nombre de dominio C2.
El ataque culmina con el despliegue de StealC, un robador de información que se vende bajo el modelo de malware como servicio (MAAS) desde principios de 2023. Se evalúa que se vuelve a diseñar de otro malware de robo conocido como Arkei. Una de las características notables del malware es su capacidad para evitar infectar máquinas ubicadas en Rusia, Ucrania, Bielorrusia, Kazajstán o Uzbekistán.
La noticia de la campaña de MintsLoader también sigue la aparición de una versión actualizada del JinxLoader denominado Astolfo Loader (también conocido como Jinx V3) que ha sido reescribido en C ++ probablemente por razones de rendimiento después de que el autor de malware Rendnza se vendió a dos compradores separados. Delfin y Astolfoloader.
“Mientras @delfin afirma estar vendiendo JinxLoaderv2 sin cambios, @astolfoloader optó por cambiar el malware y modificar el stub a C ++ (Jinx V3), en lugar de usar el binario original compilado”, Blackberry anotado a fines del año pasado.
“Servicios como JinxLoader y su sucesor, Astolfo Loader (Jinx V3), ejemplifican cómo tales herramientas pueden proliferar de manera rápida y asequible y se pueden comprar a través de foros populares de piratería pública a los que son accesibles para prácticamente cualquier persona con una conexión a Internet”.
Los investigadores de ciberseguridad también han arrojado luz sobre el funcionamiento interno del Gootloader Las campañas de malware, que se sabe que arman la intoxicación de la optimización de motores de búsqueda (SEO) para redirigir a las víctimas que buscan acuerdos y contratos a sitios comprometidos de WordPress que alojan un tablero de mensajes de aspecto realista para descargar un archivo que contiene lo que supuestamente buscan.
Se ha descubierto que los operadores de malware realizan cambios en los sitios de WordPress que hacen que esos sitios carguen dinámicamente el contenido de la página del foro falso de otro servidor, denominado “Mothership” por Sophos.
Las campañas de Gootloader, además de los rangos de direcciones IP de geofencing y permiten que las solicitudes se originen en países específicos de interés, van más allá al permitir que la víctima potencial visite el sitio infectado solo una vez cada 24 horas agregando la IP a una lista de bloques.
“Todos los aspectos de este proceso se ofusen hasta tal punto que incluso los propietarios de las páginas de WordPress comprometidas a menudo no pueden identificar las modificaciones en su propio sitio o activar el código Gootloader para ejecutar cuando visitan sus propias páginas”, el investigador de seguridad Gabor Szappanos dicho.
About the Author
