El cargador de malware conocido como Cargador de menta se ha utilizado para entregar un troyano de acceso remoto basado en PowerShell llamado Ghostweaver.
“MintsLoader opera a través de una cadena de infecciones de varias etapas que involucra scripts de JavaScript y PowerShell de Multi-Etape”, registró el grupo Insikt de Future dicho En un informe compartido con The Hacker News.
“El malware emplea técnicas de evasión de máquinas Sandbox y virtuales, un algoritmo de generación de dominio (DGA) y comunicaciones de comando y control (C2) basadas en HTTP”.
Phishing and Drive-by Descargar campañas que distribuyen MintsLoader se han detectado en la naturaleza desde principios de 2023, por Ciberdefensa naranja. Se ha observado que el cargador ofrece varias cargas útiles de seguimiento como STEALC y una versión modificada del cliente Berkeley Open Infrastructure for Network Computing (BOINC).
El malware también ha sido utilizado por los actores de amenaza que operan servicios de crímenes electrónicos como Socgholish (también conocido como FakeUpdates) y Landupdate808 (también conocido como TAG-124), distribuyendo a través de correos electrónicos de phishing dirigidos a los sectores industrial, legal y de energía y las indicaciones de actualización del navegador falso.
En un giro notable, las ondas de ataque recientes han empleado la táctica de ingeniería social cada vez más frecuente llamada ClickFix para engañar a los visitantes del sitio para que copiaran y ejecutar el código malicioso de JavaScript y PowerShell. Los enlaces a las páginas de ClickFix se distribuyen a través de correos electrónicos de spam.
“Aunque MintsLoader funciona únicamente como un cargador sin capacidades complementarias, sus fortalezas principales se encuentran en sus técnicas de evasión de Sandbox y Máquina virtual y una implementación de DGA que deriva el dominio C2 en función del día en que se ejecute”, dijo Future registrado.
Estas características, junto con técnicas de ofuscación, permiten a los actores de amenaza obstaculizar el análisis y complicar los esfuerzos de detección. La responsabilidad principal del malware es descargar la carga útil de la próxima etapa de un dominio DGA sobre HTTP por medio de un script de PowerShell.
Ghostweaver, según un informe De Trac Labs a principios de febrero, está diseñado para mantener una comunicación persistente con su servidor C2, generar dominios DGA basados en un algoritmo de semilla fija basado en el número de semana y año, y entregar cargas útiles adicionales en forma de complementos que pueden robar datos del navegador y manipular el contenido HTML.
“En particular, Ghostweaver puede implementar MintsLoader como una carga útil adicional a través de su comando sendplugin. La comunicación entre Ghostweaver y su servidor de comando y control (C2) se asegura a través del cifrado TLS utilizando una autenticada de la autenticación de la autodenominación, la autodenominada, se registra directamente dentro del script de PowerShell.
La divulgación se produce como kroll reveló Los intentos realizados por los actores de amenaza para asegurar el acceso inicial a través de una campaña en curso con nombre en código ClearFake que aprovecha ClickFix para atraer a las víctimas a ejecutar comandos MSHTA que finalmente implementan el malware Lumma Stealer.
About the Author
