Caçadores de ameaças detalharam uma campanha em andamento que explora um carregador de malware chamado MintsLoader para distribuir payloads secundárias como o ladrão de informações StealC e uma legítima plataforma de computação em rede de código aberto chamada BOINC.
"MintsLoader é um carregador de malware baseado em PowerShell que tem sido entregue via e-mails de spam com um link para páginas Kongtuke/ClickFix ou um arquivo JScript," afirmou a empresa de cibersegurança eSentire em uma análise.
A campanha tem como alvos setores de eletricidade, petróleo e gás e serviços jurídicos nos Estados Unidos e na Europa, segundo a empresa, que detectou a atividade no início de janeiro de 2025.
O desenvolvimento ocorre em meio a um aumento nas campanhas maliciosas que abusam de falsos prompts de verificação CAPTCHA para enganar usuários a copiar e executar scripts PowerShell para contornar as verificações, uma técnica que passou a ser conhecida como ClickFix e KongTuke.
"KongTuke envolve um script injetado que atualmente faz com que sites associados exibam páginas falsas de 'verifique se você é humano'," disse a Palo Alto Networks Unit 42 em um relatório detalhando uma campanha similar distribuindo BOINC.
Essas páginas de verificação falsas carregam o buffer de cópia/colar do Windows da vítima em potencial com um script PowerShell malicioso.
A página também fornece instruções detalhadas pedindo às vítimas em potencial para colar e executar o script em uma janela Executar.
A cadeia de ataque documentada pela eSentire começa quando os usuários clicam em um link em um e-mail de spam, levando ao download de um arquivo JavaScript ofuscado.
O script é responsável por executar um comando PowerShell para baixar o MintsLoader via curl e executá-lo, após o qual se deleta do host para evitar deixar rastros.
Sequências alternativas redirecionam os destinatários da mensagem para páginas no estilo ClickFix que levam à entrega do MintsLoader por meio do prompt Executar do Windows.
O malware carregador, por sua vez, contata um servidor de comando e controle (C2) para buscar payloads intermediárias PowerShell que realizam várias verificações para evadir sandboxes e resistir a esforços de análise.
Ele também apresenta um Algoritmo de Geração de Domínio (DGA) com um valor de semente baseado na adição do dia atual do mês para criar o nome do domínio C2.
O ataque culmina com a implantação do StealC, um ladrão de informações vendido sob o modelo de malware-as-a-service (MaaS) desde o início de 2023.
Avalia-se que seja reengenharia de outro malware ladrão conhecido como Arkei.
Uma das características notáveis do malware é sua capacidade de evitar infectar máquinas localizadas na Rússia, Ucrânia, Belarus, Cazaquistão ou Uzbequistão.
Notícias da campanha MintsLoader também seguem o surgimento de uma versão atualizada do JinxLoader chamada Astolfo Loader (conhecida como Jinx V3) que foi reescrita em C++ provavelmente por questões de desempenho após seu código fonte ter sido vendido pelo autor do malware Rendnza para dois compradores distintos, Delfin e AstolfoLoader.
"Enquanto @Delfin afirma estar vendendo JinxLoaderV2 sem alterações, @AstolfoLoader optou por rebrandear o malware e modificar o stub para C++ (Jinx V3), em vez de usar o binário original compilado em Go," observou a BlackBerry no final do último ano.
Serviços como JinxLoader e seu sucessor, Astolfo Loader (Jinx V3), exemplificam como tais ferramentas podem proliferar rapidamente e a um custo acessível, podendo ser adquiridas via fóruns públicos de hacking populares que são acessíveis a praticamente qualquer um com uma conexão de Internet.
Pesquisadores de cibersegurança também lançaram luz sobre os mecanismos internos das campanhas de malware GootLoader, que são conhecidas por armar o envenenamento de SEO (Search Engine Optimization) para redirecionar vítimas que buscam por acordos e contratos para sites WordPress comprometidos que hospedam um quadro de mensagens de aparência realista para baixar um arquivo que contém o que supostamente estão procurando.
Os operadores de malware foram encontrados fazendo mudanças nos sites WordPress que fazem com que esses sites carreguem dinamicamente o conteúdo da página do fórum falso de outro servidor, referido como "nave-mãe" pela Sophos.
Campanhas GootLoader, além de geofenciar faixas de IP e permitir solicitações originárias de países específicos de interesse, vão além permitindo que a vítima em potencial visite o site infectado apenas uma vez em 24 horas, adicionando o IP a uma lista de bloqueio.
"Cada aspecto desse processo é ofuscado a tal grau que até os proprietários das páginas WordPress comprometidas muitas vezes não conseguem identificar as modificações em seu próprio site ou acionar o código GootLoader para rodar quando visitam suas próprias páginas," disse o pesquisador de segurança Gabor Szappanos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...