Campaña de amenazas MintsLoader

Se ha identificado una campaña cibernética que utiliza el loader de Malware MintsLoader para distribuir cargas útiles secundarias, como el “ladrón” de información StealC y la plataforma legítima de computación en red de código abierto BOINC. Esta campaña se ha dirigido principalmente a sectores como la electricidad el petróleo, el gas y los servicios legales en EUA y Europa.

¿Cuál es la amenaza?

MintsLoader es lanzador de Malware basado en PowerShell diseñado para enviar varias cargas útiles secundarias a los sistemas afectados. La infección suele comenzar cuando un usuario hace clic en un enlace malicioso en un correo electrónico de Phishing o cae en una notificación falsa de actualización del navegador.  Estos enlaces pueden llevar a un sitio web afectado o una descarga directa de un archivo JavaScript perdido. Al ejecutarse, el Script de Java activa un comando de PowerShell que descarga y ejecuta MintsLoader.

MintsLoader funciona como un sofisticado mecanismo de comando y control (C2), que utiliza un algoritmo de generación de dominios (DGA) para determinar su dominio de C2 de forma dinámica. Esta característica le permite evadir la detección por parte de las herramientas de seguridad tradicionales que se basan en el bloqueo de dominios estáticos. Una vez que establece la comunicación con el servidor C2, MintsLoader recupera cargas útiles adicionales y las ejecuta el sistema infectado.

Una de las principales cargas útiles de MinstLoader es SealC, un Malware que roba información y está diseñado para extraer datos confidenciales de los usuarios, incluidas credenciales, cookies, información de autocompletado y detalle sde la billetera de criptomonedas, de varias aplicaciones y navegadores web. El atacante transmite la información robada a su servidor C2 para su posterior explotación o venta en mercados de la “Dark Web”.

Además, se ha observado que MintsLoader implementa BOINC, una plataforma de Software de código abierto diseñada inicialmente para proyectos de computación distribuida. Si bien BOINC no es malicioso, los atacantes lo aprovechan para usar la potencia del procesamiento del dispositivo comprometido de manera subrepticia. Esto podría facilitar operaciones de minería de criptomonedas no autorizadas o usarse como parte de una red de bots más grande para realizar ataques distribuidos de denegación de servicio (DDoS). Al explotar BOINC, los atacantes pueden abusar de los recursos del sistema sin levantar sospechas inmediatas, ya que el software puede parece legítimo para los administradores del sistema.

¿Por qué es digno de mención?

Esta campaña es importante debido a su combinación de sofisticadas técnicas de distribución de Malware y la explotación de Software legítimo.El uso de DGA de MintsLoader para la comunicación C2 hace que sea más difícil para las soluciones de seguridad detectar y bloquear dominios maliciosos. Además, la implementación de StealC plantea un riesgo sustancial para la información confidencial, mientras que el uso indebido de BOINC podría conducir a la utilización no autorizada de los recursos del sistema. El hecho de que los ataques se dirijan a sectores de infraestructura críticos amplifica el impacto potencial, lo que subraya la importancia de una mayor vigilancia y medidas de seguridad sólidas.

¿Cuál es el riesgo?

Las organizaciones afectadas por esta amenaza pueden sufrir importantes violaciones de datos, incluidas la perdida de información confidencial, y propiedad intelectual. El uso no autorizado de los recursos del sistema mediante la implementación de BOINC podría provocar una degradación del rendimiento del sistema, un aumento de los costos operativos y una posible participación en actividades ilícitas sin el conocimiento de la organización. Además, la vulneración de los sistemas dentro de sectores de infraestructura crítica podría tener consecuencias de gran alcance, que podría interrumpir los servicios esenciales y socavar la confianza pública.

Recomendaciones

Algunas de las recomendaciones para mitigar el impacto:

• Realice sesiones de capacitación periódica para educar a los empleados sobre los peligros de los correos electrónicos de Phishing y la importancia de no interactuar con enlaces o archivos adjuntos.
• Implemente soluciones avanzadas de filtrado de correo electrónico, para detectar y bloquear correos electrónicos maliciosos antes de que lleguen a los usuarios finales.
• Utilice plataformas de protección de puntos finales confiables capaces de detectar y prevenir la ejecución de Scripts y cargas utiles maliciosas.
• Mantenga los sistemas y el software actualizados con los últimos parches de seguridad para reducir las vulnerabilidades que el Malware podría explotar.
• Restrinja la ejecución de aplicaciones y Scripts no autorizados mediante políticas de listas blancas de aplicaciones.