Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • MintsLoader ofrece malware STEALC y BOINC en ataques cibernéticos específicos
  • Tecnología

MintsLoader ofrece malware STEALC y BOINC en ataques cibernéticos específicos

teknomers 27 de Ocak de 2025 (Last updated: 27 de Ocak de 2025) 5 minutes read
MintsLoader ofrece malware STEALC y BOINC en ataques cibernéticos específicos


27 de enero de 2025Ravie LakshmananEnvenenamiento por malware / SEO

Los cazadores de amenazas han detallado una campaña en curso que aprovecha un cargador de malware llamado MintsLoader para distribuir cargas útiles secundarias como el robador de información de STEALC y una plataforma de computación de red de código abierto legítima llamada BOINC.

“MintsLoader es un cargador de malware basado en PowerShell que se ha visto entregados a través de correos electrónicos de spam con un enlace a las páginas Kongtuke/ClickFix o un archivo JScript”, la firma de ciberseguridad Esentire dicho en un análisis.

La campaña ha dirigido la electricidad, el petróleo y el gas, y los sectores de servicios legales en los Estados Unidos y Europa, según la compañía, que detectó la actividad a principios de enero de 2025.

El desarrollo se produce en medio de un aumento en las campañas maliciosas que abusan de las falsas indicaciones de verificación de Captcha para engañar a los usuarios para que copien y ejecutan los scripts de PowerShell para sortear los cheques, una técnica que se sabe que se conoce a ClickFix y Kongtuke.

Ciberseguridad

“Kongtuke involucra un script inyectado que actualmente hace que los sitios web asociados muestren las páginas falsas ‘Verifique que sean humanos’, la unidad de Palo Alto Networks 42 dicho En un informe que detalla una campaña similar que distribuye BOINC.

“Estas páginas de verificación falsas cargan el búfer de copia/pegado de Windows de una víctima potencial con un script de PowerShell malicioso. La página también ofrece instrucciones detalladas para pedirles a las víctimas potenciales que peguen y ejecuten el script en una ventana de ejecución”.

La cadena de ataque documentada por Esentire comienza cuando los usuarios hacen clic en un enlace en un correo electrónico spam, lo que lleva a la descarga de un archivo JavaScript ofuscado. El script es responsable de ejecutar un comando PowerShell para descargar MintsLoader a través de Curl y ejecutarlo, después de lo cual se elimina del host para evitar dejar trazas.

Las secuencias alternativas redirigen los destinatarios del mensaje a páginas de estilo ClickFix que conducen a la entrega de MintsLoader por medio de la solicitud de ejecución de Windows.

El malware del cargador, a su vez, contacta a un servidor de comando y control (C2) para obtener cargas útiles intermedios de PowerShell que realiza varios cheques para evadir las cajas de arena y resistir los esfuerzos de análisis. También presenta un algoritmo de generación de dominio (DGA) con un valor de semilla basado en la adición del día actual del mes para crear el nombre de dominio C2.

El ataque culmina con el despliegue de StealC, un robador de información que se vende bajo el modelo de malware como servicio (MAAS) desde principios de 2023. Se evalúa que se vuelve a diseñar de otro malware de robo conocido como Arkei. Una de las características notables del malware es su capacidad para evitar infectar máquinas ubicadas en Rusia, Ucrania, Bielorrusia, Kazajstán o Uzbekistán.

La noticia de la campaña de MintsLoader también sigue la aparición de una versión actualizada del JinxLoader denominado Astolfo Loader (también conocido como Jinx V3) que ha sido reescribido en C ++ probablemente por razones de rendimiento después de que el autor de malware Rendnza se vendió a dos compradores separados. Delfin y Astolfoloader.

“Mientras @delfin afirma estar vendiendo JinxLoaderv2 sin cambios, @astolfoloader optó por cambiar el malware y modificar el stub a C ++ (Jinx V3), en lugar de usar el binario original compilado”, Blackberry anotado a fines del año pasado.

“Servicios como JinxLoader y su sucesor, Astolfo Loader (Jinx V3), ejemplifican cómo tales herramientas pueden proliferar de manera rápida y asequible y se pueden comprar a través de foros populares de piratería pública a los que son accesibles para prácticamente cualquier persona con una conexión a Internet”.

Ciberseguridad

Los investigadores de ciberseguridad también han arrojado luz sobre el funcionamiento interno del Gootloader Las campañas de malware, que se sabe que arman la intoxicación de la optimización de motores de búsqueda (SEO) para redirigir a las víctimas que buscan acuerdos y contratos a sitios comprometidos de WordPress que alojan un tablero de mensajes de aspecto realista para descargar un archivo que contiene lo que supuestamente buscan.

Se ha descubierto que los operadores de malware realizan cambios en los sitios de WordPress que hacen que esos sitios carguen dinámicamente el contenido de la página del foro falso de otro servidor, denominado “Mothership” por Sophos.

Las campañas de Gootloader, además de los rangos de direcciones IP de geofencing y permiten que las solicitudes se originen en países específicos de interés, van más allá al permitir que la víctima potencial visite el sitio infectado solo una vez cada 24 horas agregando la IP a una lista de bloques.

“Todos los aspectos de este proceso se ofusen hasta tal punto que incluso los propietarios de las páginas de WordPress comprometidas a menudo no pueden identificar las modificaciones en su propio sitio o activar el código Gootloader para ejecutar cuando visitan sus propias páginas”, el investigador de seguridad Gabor Szappanos dicho.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: 25 productos de belleza de Ulta que claramente entendían la tarea
Next: Empoli, D’Aversa: “Los créditos a los chicos. Ponemos en dificultades a los grandes equipos”

Related Stories

NVIDIA presenta 14 nuevas GeForce… pero sin ningún GPU a
  • Tecnología

NVIDIA presenta 14 nuevas GeForce… pero sin ningún GPU a la vista

teknomers 11 de Temmuz de 2026
iPhone Ultra: se revela su batería, y podría ser menos
  • Tecnología

iPhone Ultra: se revela su batería, y podría ser menos generosa de lo esperado

teknomers 11 de Temmuz de 2026
Para vlogger durante todo el verano, Amazon rebaja la cámara
  • Tecnología

Para vlogger durante todo el verano, Amazon rebaja la cámara Insta360 X5 y su pack de accesorios esenciales en un -22%

teknomers 10 de Temmuz de 2026

You May Have Missed

España-Bélgica: ¿por qué no hubo penalti por la mano de
  • Deporte

España-Bélgica: ¿por qué no hubo penalti por la mano de Rodri en el área?

teknomers 11 de Temmuz de 2026
  • General

EE. UU. impone nuevas sanciones relacionadas con Irán mientras aumenta el conflicto.

teknomers 11 de Temmuz de 2026
  • Deporte

Copa Mundial 2026: Inglaterra, favorita para llegar a las semifinales, según el entrenador de Noruega

teknomers 11 de Temmuz de 2026
  • Cultura

Llamado a donaciones: ¡devuelve sus alas al molino de Artenay!

teknomers 11 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.