Nel panorama in continua evoluzione della sicurezza informatica, MintsLoader emerge come una minaccia significativa. Questo malware loader, basato su PowerShell, è stato recentemente osservato in campagne mirate contro settori critici come l'elettricità, il petrolio e il gas, e i servizi legali negli Stati Uniti e in Europa. Secondo l'analisi condotta da eSentire, MintsLoader viene distribuito tramite email di spam che contengono link a pagine fasulle o file JScript.

Caratteristiche di MintsLoader

Una delle caratteristiche principali di MintsLoader è la sua capacità di distribuire carichi secondari, come lo StealC, un malware progettato per rubare informazioni, e BOINC, una piattaforma di calcolo distribuito open source. Questa campagna sfrutta tecniche avanzate di evasione, come la falsificazione dei CAPTCHA, per ingannare gli utenti a eseguire script dannosi, noti come ClickFix e KongTuke.

Meccanismo di attacco

Il meccanismo di attacco inizia con un link in una email di spam che porta al download di un file JavaScript offuscato. Questo script esegue un comando PowerShell per scaricare ed eseguire MintsLoader, cancellandosi subito dopo per non lasciare tracce. In alcuni casi, gli utenti vengono reindirizzati a pagine ClickFix che avviano MintsLoader tramite il prompt di esecuzione di Windows.

Il malware utilizza un algoritmo di generazione di domini (DGA) per contattare i server di comando e controllo (C2), rendendo più difficile il tracciamento. Inoltre, StealC, venduto come servizio di malware (MaaS), è progettato per evitare di infettare computer in Russia e nelle vicine nazioni post-sovietiche.

Evoluzione delle minacce

Oltre a MintsLoader, il panorama delle minacce include l'evoluzione di JinxLoader in Astolfo Loader, riscritto in C++ per migliorare le prestazioni. Questo dimostra come strumenti di attacco possano rapidamente proliferare e essere accessibili a chiunque sui forum pubblici di hacking.

Campagne di malware

Infine, le campagne di malware come GootLoader utilizzano tecniche di avvelenamento SEO per reindirizzare le vittime verso siti compromessi. Questi siti, spesso WordPress, sono modificati per caricare contenuti malevoli da server remoti, mascherati da forum legittimi. Queste campagne sfruttano anche il geofencing per limitare l'accesso solo a utenti di paesi specifici, aggiungendo un ulteriore livello di sofisticazione agli attacchi.