Underc0de

El loader de malware MintsLoader ha sido identificado como un componente clave en recientes campañas de ciberataques, utilizado para distribuir GhostWeaver, un troyano de acceso remoto (RAT) avanzado escrito en PowerShell. Este cargador opera a través de una compleja cadena de infección de múltiples etapas que combina JavaScript y PowerShell ofuscado.

Según un informe del Insikt Group de Recorded Future, MintsLoader emplea las siguientes técnicas avanzadas:

• Evasión de máquinas virtuales y entornos sandbox
• Algoritmo de generación de dominios (Domain Generation Algorithm, DGA)
• Comunicación C2 (comando y control) sobre protocolo HTTP

Estas capacidades hacen que MintsLoader sea especialmente difícil de detectar y analizar, convirtiéndolo en una herramienta atractiva para grupos de amenazas persistentes avanzadas (APT).

Campañas activas desde 2023 con MintsLoader y GhostWeaver

Desde inicios de 2023, Orange Cyberdefense ha documentado múltiples campañas de phishing y descarga maliciosa que distribuyen MintsLoader como etapa inicial de infección. El cargador ha sido observado desplegando malware como:

• StealC, un infostealer especializado
• Una versión modificada del cliente BOINC (Berkeley Open Infrastructure for Network Computing)

Además, MintsLoader ha sido utilizado por grupos de delitos cibernéticos como:

• SocGholish (también conocido como FakeUpdates)
• LandUpdate808 (TAG-124)

Estos actores han apuntado a sectores sensibles como el industrial, legal y energético, usando correos electrónicos de phishing y falsas actualizaciones de navegador para propagar el malware.

ClickFix: ingeniería social que potencia la propagación del malware

Una táctica destacada en campañas recientes es el uso del método de ingeniería social ClickFix, que busca engañar a los usuarios para que copien y ejecuten manualmente código malicioso en sus sistemas.

Los atacantes distribuyen enlaces a páginas falsas de ClickFix mediante spam y correos no deseados, donde los usuarios son inducidos a ejecutar scripts JavaScript y PowerShell, facilitando así la infección por MintsLoader y sus cargas útiles secundarias.

Técnicas de evasión y persistencia empleadas por MintsLoader

Aunque MintsLoader se limita a funcionar como loader sin funciones de robo de información, su eficacia reside en su sofisticación técnica. Entre sus métodos destacan:

• Evasión de sandboxing
• Ofuscación de scripts
• DGA que genera dominios basados en la fecha de ejecución
• Carga de scripts PowerShell desde dominios generados dinámicamente

Estas características permiten ocultar su actividad maliciosa, obstaculizar el análisis forense y evadir herramientas de detección tradicionales.


GhostWeaver: troyano persistente con complementos y cifrado TLS

El troyano GhostWeaver, cargado por MintsLoader, es un malware complejo que:

• Mantiene conexión persistente con el servidor C2
• Genera dominios C2 a través de un DGA con semillas semanales y anuales
• Entrega cargas útiles adicionales en forma de complementos
• Roba información del navegador y manipula contenido HTML

Un aspecto técnico clave es que GhostWeaver puede reutilizar MintsLoader como carga útil secundaria mediante su comando sendPlugin.

Además, la comunicación entre GhostWeaver y su infraestructura de comando y control está cifrada mediante TLS, utilizando un certificado X.509 ofuscado y autofirmado, incrustado directamente en el script PowerShell. Esto fortalece la autenticación del lado del cliente y complica aún más el análisis del tráfico malicioso.

Nuevas campañas asociadas: ClickFix y Lumma Stealer

Paralelamente, la firma Kroll ha reportado intentos recientes de obtener acceso inicial utilizando la campaña denominada CLEARFAKE, que también explota el mecanismo de ClickFix. Esta campaña induce a los usuarios a ejecutar comandos MSHTA, culminando en la ejecución del malware Lumma Stealer, un infostealer popular en foros clandestinos.

MintsLoader y GhostWeaver, una amenaza avanzada para entornos corporativos

El dúo MintsLoader–GhostWeaver representa una evolución peligrosa en los métodos de entrega de malware, integrando PowerShell malicioso, evasión avanzada, DGA dinámico y cifrado TLS. Esta amenaza está diseñada para infiltrarse sigilosamente en entornos corporativos, especialmente aquellos menos protegidos contra técnicas modernas de ingeniería social y evasión.

Recomendaciones para mitigar el riesgo:

• Bloquear el uso de PowerShell no autorizado
• Monitorizar dominios DGA y tráfico HTTP sospechoso
• Utilizar herramientas de seguridad capaces de detectar evasión sandbox
• Educar a los usuarios sobre ataques como ClickFix y MSHTA
• Auditar continuamente los scripts y macros ejecutados desde el correo

Fuente: https://thehackernews.com/