El cargador de malware conocido como Cargador de menta se ha utilizado para entregar un troyano de golpe remoto basado en PowerShell llamado Ghostweaver.
“MintsLoader opera a través de una condena de infecciones de varias etapas que involucra a los scripts de JavaScript y PowerShell de Ofuscated”, dijo el clase Insikt de Future en un noticia compartido con Hacker News.
“El malware emplea técnicas de despreocupación de máquinas Sandbox y virtuales, un cálculo de reproducción de dominio (DGA) y comunicaciones de comando y control (C2) basadas en HTTP”.
Phishing and Drive-by Descargar campañas que distribuyen MintsLoader se han detectado en la naturaleza desde principios de 2023, según Orange CyberDefense. Se ha observado que el cargador ofrece varias cargas avíos de seguimiento como STEALC y una traducción modificada del cliente Berkeley Open Infrastructure for Network Computing (BOINC).
El malware asimismo ha sido utilizado por los actores de amenaza que operan servicios de delitos electrónicos como Socgholish (asimismo conocido como FakeUpdates) y Landupdate808 (asimismo conocido como TAG-124), distribuyendo a través de correos electrónicos de phishing dirigidos a los sectores industriales, legales y energéticos y las indicaciones de modernización de los navegadores falsos.
En un rotación extraordinario, las ondas de ataque recientes han empleado la táctica de ingeniería social cada vez más frecuente emplazamiento ClickFix para engañar a los visitantes del sitio para que copiaran y ejecutar el código zorro de JavaScript y PowerShell. Los enlaces a las páginas de ClickFix se distribuyen a través de correos electrónicos de spam.
“Aunque MintsLoader funciona nada más como un cargador sin capacidades complementarias, sus fortalezas principales se encuentran en sus técnicas de despreocupación de Sandbox y Máquina imaginario y una implementación de DGA que deriva el dominio C2 en función del día en que se ejecute”, dijo Future registrado.
Estas características, yuxtapuesto con técnicas de ofuscación, permiten a los actores de amenaza obstaculizar el prospección y complicar los esfuerzos de detección. La responsabilidad principal del malware es descargar la carga útil de la próxima etapa de un dominio DGA sobre HTTP por medio de un script de PowerShell.
Ghostweaver, según un noticia de TRAC Labs a principios de este febrero, está diseñado para ayudar una comunicación persistente con su servidor C2, difundir dominios DGA basados en un cálculo de semilla fija basado en el número de semana y año, y entregar cargas avíos adicionales en forma de complementos que pueden robar datos del navegador y manipular el contenido de HTML.
“En particular, Ghostweaver puede implementar MintsLoader como una carga útil adicional a través de su comando sendplugin. La comunicación entre Ghostweaver y su servidor de comando y control (C2) se asegura a través del enigmático TLS utilizando una autenticada de la autenticación de la autodenominación, la autodenominada, se registra directamente adentro del script de PowerShell.
La divulgación se produce cuando Kroll reveló los intentos hechos por los actores de amenaza para apoyar el golpe original a través de una campaña en curso con nombre en código ClearFake que aprovecha ClickFix para atraer a las víctimas a ejecutar comandos MSHTA que finalmente desplegaron el malware del robador Lumma.
