Pesquisadores em segurança cibernética identificaram uma campanha sofisticada que utiliza o malware MintsLoader como vetor de ataque para entregar cargas secundárias, como o ladrão de informações StealC e a plataforma legítima de computação distribuída BOINC.
O que é o MintsLoader?
O MintsLoader é um malware baseado em PowerShell, distribuído por meio de e-mails de spam contendo links para páginas manipuladas, como KongTuke e ClickFix, ou anexos de arquivos JScript. Segundo a análise da eSentire, esta campanha tem como alvos principais setores de energia elétrica, petróleo e gás, além de serviços jurídicos, nos Estados Unidos e na Europa.
Ataques via CAPTCHA falsos
Os cibercriminosos utilizam uma técnica inovadora envolvendo prompts falsos de verificação CAPTCHA. Essas páginas enganosas instruem os usuários a copiar e colar comandos PowerShell em seus sistemas, facilitando o download e a execução do malware. Este método, conhecido como ClickFix, visa explorar vulnerabilidades de segurança ao enganar as vítimas com instruções detalhadas.
Detalhes da cadeia de ataque
O processo inicia com um link de e-mail que redireciona para o download de um script JavaScript ofuscado. Esse script executa comandos que baixam e executam o MintsLoader via PowerShell. Após a execução, o malware se apaga para evitar rastreamento. Além disso, o loader se conecta a servidores de comando e controle (C2) utilizando um algoritmo de geração de domínio (DGA), que cria nomes de domínio dinâmicos para evitar detecção.
Notícias Relacionadas
Ataque furtivo
Gangue usa SSH para invadir VMWare ESXi
Hackers utilizam túneis SSH para invadir o VMware ESXi, explorando vulnerabilidades ou credenciais comprometidas. A abordagem permite acesso persistente e movimentação furtiva nas redes corporativas.
Dados expostos
UnitedHealth atualiza para 190 milhões os afetados por ataque de ransomware
A UnitedHealth atualizou o número de pessoas afetadas pelo ataque de ransomware de 2024 para 190 milhões, quase dobrando a estimativa anterior, revelando o maior vazamento de dados de saúde da história dos EUA.
StealC: roubo de dados como serviço
O StealC, principal carga do MintsLoader, é um malware do tipo MaaS (malware-as-a-service), reprogramado a partir do ladrão Arkei. Desde 2023, ele se destaca por roubar informações sensíveis e evitar infectar dispositivos em países como Rússia, Ucrânia e Cazaquistão, demonstrando uma segmentação cuidadosa por parte dos operadores.
Evolução e novas ameaças
Além do MintsLoader, outra ameaça recente é o Astolfo Loader (ou Jinx V3), reescrito em C++ para melhorar o desempenho. Essas ferramentas, amplamente comercializadas em fóruns hackers, exemplificam como os malwares continuam a evoluir e se tornar acessíveis para criminosos com pouca experiência técnica.
Envenenamento de SEO com GootLoader
Outra técnica emergente é o uso do GootLoader, que emprega estratégias de otimização de mecanismos de busca (SEO) para atrair vítimas para sites WordPress comprometidos. Esses sites exibem páginas falsas que oferecem downloads maliciosos, enquanto implementam controles geográficos e temporais para evitar detecção.
Esses ataques evidenciam como os cibercriminosos estão combinando criatividade e tecnologia para realizar campanhas direcionadas, destacando a necessidade de medidas avançadas de proteção cibernética.
