El cargador de malware conocido como Cargador de menta<\/strong> se ha utilizado para entregar un troyano de acceso remoto basado en PowerShell llamado Ghostweaver.<\/p>\n “MintsLoader opera a trav\u00e9s de una cadena de infecciones de varias etapas que involucra scripts de JavaScript y PowerShell de Multi-Etape”, registr\u00f3 el grupo Insikt de Future dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n “El malware emplea t\u00e9cnicas de evasi\u00f3n de m\u00e1quinas Sandbox y virtuales, un algoritmo de generaci\u00f3n de dominio (DGA) y comunicaciones de comando y control (C2) basadas en HTTP”.<\/p>\n Phishing and Drive-by Descargar campa\u00f1as que distribuyen MintsLoader se han detectado en la naturaleza desde principios de 2023, por Ciberdefensa naranja<\/a>. Se ha observado que el cargador ofrece varias cargas \u00fatiles de seguimiento como STEALC y una versi\u00f3n modificada del cliente Berkeley Open Infrastructure for Network Computing (BOINC).<\/p>\n El malware tambi\u00e9n ha sido utilizado por los actores de amenaza que operan servicios de cr\u00edmenes electr\u00f3nicos como Socgholish<\/a> (tambi\u00e9n conocido como FakeUpdates) y Landupdate808 (tambi\u00e9n conocido como TAG-124), distribuyendo a trav\u00e9s de correos electr\u00f3nicos de phishing dirigidos a los sectores industrial, legal y de energ\u00eda y las indicaciones de actualizaci\u00f3n del navegador falso. <\/p>\n En un giro notable, las ondas de ataque recientes han empleado la t\u00e1ctica de ingenier\u00eda social cada vez m\u00e1s frecuente llamada ClickFix para enga\u00f1ar a los visitantes del sitio para que copiaran y ejecutar el c\u00f3digo malicioso de JavaScript y PowerShell. Los enlaces a las p\u00e1ginas de ClickFix se distribuyen a trav\u00e9s de correos electr\u00f3nicos de spam.<\/p>\n “Aunque MintsLoader funciona \u00fanicamente como un cargador sin capacidades complementarias, sus fortalezas principales se encuentran en sus t\u00e9cnicas de evasi\u00f3n de Sandbox y M\u00e1quina virtual y una implementaci\u00f3n de DGA que deriva el dominio C2 en funci\u00f3n del d\u00eda en que se ejecute”, dijo Future registrado.<\/p>\n Estas caracter\u00edsticas, junto con t\u00e9cnicas de ofuscaci\u00f3n, permiten a los actores de amenaza obstaculizar el an\u00e1lisis y complicar los esfuerzos de detecci\u00f3n. La responsabilidad principal del malware es descargar la carga \u00fatil de la pr\u00f3xima etapa de un dominio DGA sobre HTTP por medio de un script de PowerShell.<\/p>\n Ghostweaver, seg\u00fan un informe<\/a> De Trac Labs a principios de febrero, est\u00e1 dise\u00f1ado para mantener una comunicaci\u00f3n persistente con su servidor C2, generar dominios DGA basados \u200b\u200ben un algoritmo de semilla fija basado en el n\u00famero de semana y a\u00f1o, y entregar cargas \u00fatiles adicionales en forma de complementos que pueden robar datos del navegador y manipular el contenido HTML.<\/p>\n “En particular, Ghostweaver puede implementar MintsLoader como una carga \u00fatil adicional a trav\u00e9s de su comando sendplugin. La comunicaci\u00f3n entre Ghostweaver y su servidor de comando y control (C2) se asegura a trav\u00e9s del cifrado TLS utilizando una autenticada de la autenticaci\u00f3n de la autodenominaci\u00f3n, la autodenominada, se registra directamente dentro del script de PowerShell.<\/p>\n La divulgaci\u00f3n se produce como kroll revel\u00f3<\/a> Los intentos realizados por los actores de amenaza para asegurar el acceso inicial a trav\u00e9s de una campa\u00f1a en curso con nombre en c\u00f3digo ClearFake que aprovecha ClickFix para atraer a las v\u00edctimas a ejecutar comandos MSHTA que finalmente implementan el malware Lumma Stealer.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/MintsLoader-deja-caer-Ghostweaver-a-traves-de-Phishing-ClickFix.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n