Il malware MintsLoader rappresenta una delle minacce più sofisticate nel panorama attuale della cybersecurity. Questo loader è stato impiegato per distribuire il trojan di accesso remoto GhostWeaver, basato su PowerShell, attraverso una catena di infezione multistadio che sfrutta script JavaScript e PowerShell altamente offuscati. L’obiettivo di questi attacchi è colpire settori industriali, legali ed energetici tramite campagne di phishing e drive-by download, attive almeno dall’inizio del 2023.

MintsLoader: tecniche di evasione e generazione dinamica dei domini

MintsLoader si distingue per l’adozione di tecniche avanzate di elusione, come l’uso di sandbox e virtual machine evasion, oltre all’impiego di un algoritmo di generazione di domini (DGA) per la comunicazione command-and-control (C2). Questa caratteristica permette al malware di generare dinamicamente indirizzi C2, rendendo più difficile la sua individuazione e il blocco da parte dei sistemi di sicurezza tradizionali.

Innovazione nelle campagne: il social engineering ClickFix

Uno degli aspetti più innovativi delle recenti campagne è l’utilizzo della tecnica di social engineering nota come ClickFix. Gli attaccanti convincono gli utenti, tramite email di spam, a copiare e incollare manualmente codice JavaScript e PowerShell malevolo, eludendo così molte misure di sicurezza automatizzate. MintsLoader agisce principalmente come loader, senza funzionalità aggiuntive, ma le sue capacità di evasione e di generazione dinamica dei domini lo rendono particolarmente insidioso.

GhostWeaver: persistenza, esfiltrazione e comunicazione cifrata

Una volta instaurata la compromissione, MintsLoader scarica GhostWeaver, il quale mantiene una comunicazione persistente con il server C2 tramite DGA e può ricevere plug-in aggiuntivi per esfiltrare dati dai browser e manipolare contenuti HTML. GhostWeaver è in grado di distribuire nuovamente MintsLoader come payload addizionale, creando così una catena di infezione resiliente e modulare. La comunicazione tra GhostWeaver e il server C2 avviene tramite connessione cifrata TLS, usando certificati X.509 auto-firmati e obfuscati direttamente nello script PowerShell, rendendo ancora più complessa la rilevazione.

Evoluzione delle minacce e importanza della consapevolezza

Questa evoluzione delle minacce, in particolare l’integrazione di DGA, TLS e tecniche di evasione avanzate, dimostra come i cybercriminali siano sempre più abili nel superare le barriere difensive. La crescente adozione di campagne ClickFix sottolinea inoltre la necessità di rafforzare la consapevolezza degli utenti contro il phishing e le manipolazioni sociali. Seguire aggiornamenti costanti e implementare strategie di threat intelligence diventa fondamentale per proteggere infrastrutture e dati sensibili da attacchi sempre più sofisticati.