Los cazadores de amenazas han detallado una campa\u00f1a en curso que aprovecha un cargador de malware llamado MintsLoader para distribuir cargas \u00fatiles secundarias como el robador de informaci\u00f3n de STEALC y una plataforma de computaci\u00f3n de red de c\u00f3digo abierto leg\u00edtima llamada BOINC.<\/p>\n
“MintsLoader es un cargador de malware basado en PowerShell que se ha visto entregados a trav\u00e9s de correos electr\u00f3nicos de spam con un enlace a las p\u00e1ginas Kongtuke\/ClickFix o un archivo JScript”, la firma de ciberseguridad Esentire dicho<\/a> en un an\u00e1lisis.<\/p>\n La campa\u00f1a ha dirigido la electricidad, el petr\u00f3leo y el gas, y los sectores de servicios legales en los Estados Unidos y Europa, seg\u00fan la compa\u00f1\u00eda, que detect\u00f3 la actividad a principios de enero de 2025.<\/p>\n El desarrollo se produce en medio de un aumento en las campa\u00f1as maliciosas que abusan de las falsas indicaciones de verificaci\u00f3n de Captcha para enga\u00f1ar a los usuarios para que copien y ejecutan los scripts de PowerShell para sortear los cheques, una t\u00e9cnica que se sabe que se conoce a ClickFix y Kongtuke.<\/p>\n “Kongtuke involucra un script inyectado que actualmente hace que los sitios web asociados muestren las p\u00e1ginas falsas ‘Verifique que sean humanos’, la unidad de Palo Alto Networks 42 dicho<\/a> En un informe que detalla una campa\u00f1a similar que distribuye BOINC.<\/p>\n “Estas p\u00e1ginas de verificaci\u00f3n falsas cargan el b\u00fafer de copia\/pegado de Windows de una v\u00edctima potencial con un script de PowerShell malicioso. La p\u00e1gina tambi\u00e9n ofrece instrucciones detalladas para pedirles a las v\u00edctimas potenciales que peguen y ejecuten el script en una ventana de ejecuci\u00f3n”.<\/p>\n La cadena de ataque documentada por Esentire comienza cuando los usuarios hacen clic en un enlace en un correo electr\u00f3nico spam, lo que lleva a la descarga de un archivo JavaScript ofuscado. El script es responsable de ejecutar un comando PowerShell para descargar MintsLoader a trav\u00e9s de Curl y ejecutarlo, despu\u00e9s de lo cual se elimina del host para evitar dejar trazas.<\/p>\n Las secuencias alternativas redirigen los destinatarios del mensaje a p\u00e1ginas de estilo ClickFix que conducen a la entrega de MintsLoader por medio de la solicitud de ejecuci\u00f3n de Windows.<\/p>\n El malware del cargador, a su vez, contacta a un servidor de comando y control (C2) para obtener cargas \u00fatiles intermedios de PowerShell que realiza varios cheques para evadir las cajas de arena y resistir los esfuerzos de an\u00e1lisis. Tambi\u00e9n presenta un algoritmo de generaci\u00f3n de dominio (DGA) con un valor de semilla basado en la adici\u00f3n del d\u00eda actual del mes para crear el nombre de dominio C2.<\/p>\n El ataque culmina con el despliegue de StealC, un robador de informaci\u00f3n que se vende bajo el modelo de malware como servicio (MAAS) desde principios de 2023. Se eval\u00faa que se vuelve a dise\u00f1ar de otro malware de robo conocido como Arkei. Una de las caracter\u00edsticas notables del malware es su capacidad para evitar infectar m\u00e1quinas ubicadas en Rusia, Ucrania, Bielorrusia, Kazajst\u00e1n o Uzbekist\u00e1n.<\/p>\n La noticia de la campa\u00f1a de MintsLoader tambi\u00e9n sigue la aparici\u00f3n de una versi\u00f3n actualizada del JinxLoader denominado Astolfo Loader (tambi\u00e9n conocido como Jinx V3) que ha sido reescribido en C ++ probablemente por razones de rendimiento despu\u00e9s de que el autor de malware Rendnza se vendi\u00f3 a dos compradores separados. Delfin y Astolfoloader.<\/p>\n “Mientras @delfin afirma estar vendiendo JinxLoaderv2 sin cambios, @astolfoloader opt\u00f3 por cambiar el malware y modificar el stub a C ++ (Jinx V3), en lugar de usar el binario original compilado”, Blackberry anotado<\/a> a fines del a\u00f1o pasado.<\/p>\n “Servicios como JinxLoader y su sucesor, Astolfo Loader (Jinx V3), ejemplifican c\u00f3mo tales herramientas pueden proliferar de manera r\u00e1pida y asequible y se pueden comprar a trav\u00e9s de foros populares de pirater\u00eda p\u00fablica a los que son accesibles para pr\u00e1cticamente cualquier persona con una conexi\u00f3n a Internet”.<\/p>\n Los investigadores de ciberseguridad tambi\u00e9n han arrojado luz sobre el funcionamiento interno del Gootloader<\/a> Las campa\u00f1as de malware, que se sabe que arman la intoxicaci\u00f3n de la optimizaci\u00f3n de motores de b\u00fasqueda (SEO) para redirigir a las v\u00edctimas que buscan acuerdos y contratos a sitios comprometidos de WordPress que alojan un tablero de mensajes de aspecto realista para descargar un archivo que contiene lo que supuestamente buscan.<\/p>\n Se ha descubierto que los operadores de malware realizan cambios en los sitios de WordPress que hacen que esos sitios carguen din\u00e1micamente el contenido de la p\u00e1gina del foro falso de otro servidor, denominado “Mothership” por Sophos.<\/p>\n Las campa\u00f1as de Gootloader, adem\u00e1s de los rangos de direcciones IP de geofencing y permiten que las solicitudes se originen en pa\u00edses espec\u00edficos de inter\u00e9s, van m\u00e1s all\u00e1 al permitir que la v\u00edctima potencial visite el sitio infectado solo una vez cada 24 horas agregando la IP a una lista de bloques.<\/p>\n “Todos los aspectos de este proceso se ofusen hasta tal punto que incluso los propietarios de las p\u00e1ginas de WordPress comprometidas a menudo no pueden identificar las modificaciones en su propio sitio o activar el c\u00f3digo Gootloader para ejecutar cuando visitan sus propias p\u00e1ginas”, el investigador de seguridad Gabor Szappanos dicho<\/a>.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/MintsLoader-ofrece-malware-STEALC-y-BOINC-en-ataques-ciberneticos-especificos.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n