Press ESC to close

RendaGeek

MintsLoader: Análise Completa do Loader Furtivo e seu Payload GhostWeaver (Update 2025)

MintsLoader principal
PUBLICIDADE

MintsLoader é um malware loader multiestágio que entrega o trojan de acesso remoto (RAT) GhostWeaver, utilizando técnicas avançadas de evasão e comunicação furtiva. Operando através de scripts JavaScript e PowerShell ofuscados,

MintsLoader emprega evasão de sandbox/VM e um algoritmo de geração de domínio (DGA) para dificultar a detecção, conforme análise da Insikt Group (Recorded Future) em maio de 2025. Este artigo detalha seu funcionamento, táticas de infecção como ClickFix e seu papel na entrega do perigoso GhostWeaver, fornecendo insights cruciais para equipes de cibersegurança. Tempo estimado de leitura: 8 minutos.

MintsLoader emprega evasão de sandbox/VM
MintsLoader utiliza phishing e técnicas como ClickFix para iniciar sua cadeia de infecção multiestágio.

Como o MintsLoader Infecta Sistemas Atualmente?

MintsLoader inicia sua infecção através de uma cadeia multiestágio, começando tipicamente com engenharia social. A análise de campanhas recentes (2024-2025) revela métodos de distribuição que combinam vetores tradicionais e táticas emergentes para maximizar o alcance e enganar as defesas:

PUBLICIDADE
  1. Enganar via Phishing/Spam: Distribui emails maliciosos (visando setores industrial, legal, energia) ou mensagens de spam contendo links para páginas comprometidas ou armadilhas.
  2. Utilizar Drive-by-Download: Compromete websites para que visitem o site baixem o loader inicial sem interação direta, muitas vezes disfarçado de atualização legítima (tática similar ao SocGholish).
  3. Empregar Técnica ClickFix: Direciona vítimas para páginas que as instruem a copiar e colar manualmente código malicioso (JavaScript/PowerShell) em suas ferramentas de desenvolvedor ou terminal, bypassando algumas detecções de download automático.
  4. Executar Script Ofuscado: O código inicial (JS/PowerShell) é fortemente ofuscado para esconder sua real intenção e dificultar a análise estática.
  5. Baixar Próximo Estágio: O script inicial contacta um servidor de Comando e Controle (C2), frequentemente usando um domínio gerado por DGA, para baixar o payload principal ou outros módulos.

    6. Quais Técnicas de Evasão o MintsLoader Utiliza?

    MintsLoader se destaca por suas capacidades de evasão robustas, projetadas para operar sob o radar de soluções de segurança e analistas. Ele emprega uma combinação de técnicas para evitar detecção em ambientes controlados e durante a execução no sistema da vítima.

    As principais táticas incluem a evasão de sandbox e máquinas virtuais (VMs), onde o malware verifica ativamente se está sendo executado em um ambiente de análise, abortando a execução se detectar tais condições.

    Adicionalmente, utiliza ofuscação pesada em seus scripts JavaScript e PowerShell, tornando a análise manual e automática significativamente mais complexa e demorada. Dados da Recorded Future (2025) confirmam que estas técnicas são centrais para sua furtividade.

    O que é o DGA Usado pelo MintsLoader e Por Que é Importante?

    O Algoritmo de Geração de Domínio (DGA) é uma técnica chave para a resiliência do MintsLoader, permitindo que o malware gere dinamicamente uma lista de possíveis domínios de Comando e Controle (C2). Em vez de depender de um domínio C2 fixo (fácil de bloquear), MintsLoader calcula um novo domínio baseado na data atual (dia específico).

    Isso significa que mesmo que um domínio C2 seja identificado e derrubado, o malware pode simplesmente tentar se conectar ao domínio gerado para o dia seguinte, garantindo a continuidade da comunicação. Esta implementação, como destacado pela Recorded Future, complica significativamente os esforços de bloqueio baseados em domínios e listas de reputação, exigindo abordagens de detecção mais sofisticadas.

    Qual a Relação Entre MintsLoader e GhostWeaver?

    MintsLoader atua primariamente como um ‘entregador’ (loader) para o payload final, que neste caso é o GhostWeaver, um Trojan de Acesso Remoto (RAT) baseado em PowerShell. Enquanto MintsLoader foca na infecção inicial e evasão, GhostWeaver é a ferramenta que permite aos atacantes controle persistente sobre o sistema comprometido.

    Análises da TRAC Labs (Fev 2025) detalham que GhostWeaver também utiliza seu próprio DGA (baseado na semana e ano), comunica-se via TLS usando certificados autoassinados ofuscados para autenticação cliente-servidor, e pode baixar plugins adicionais para roubo de dados (ex: credenciais de navegador) e manipulação de conteúdo HTML. Curiosamente, GhostWeaver pode até mesmo ser usado para implantar o próprio MintsLoader novamente, criando um ciclo complexo.

    Quais Grupos de Ameaças Utilizam o MintsLoader?

    MintsLoader não parece ser exclusivo de um único ator, mas sim uma ferramenta utilizada por diferentes operadores de e-crime. Observações desde o início de 2023 (Orange Cyberdefense) e análises mais recentes conectam seu uso a serviços e campanhas conhecidas no submundo cibercriminoso.

    Grupos notórios como SocGholish (FakeUpdates) e a campanha LandUpdate808 (TAG-124) foram vistos distribuindo MintsLoader. Isso sugere que MintsLoader pode ser parte de um modelo de Malware-as-a-Service (MaaS) ou simplesmente adotado por múltiplos grupos devido à sua eficácia em evasão e entrega de payloads variados, que incluem não apenas GhostWeaver, mas também stealers como StealC e até clientes BOINC modificados para mineração ilícita.

    • SocGholish (FakeUpdates)
    • LandUpdate808 (TAG-124)
    • Operadores distribuindo StealC e BOINC modificado

    Validação e Evidências Empíricas (2024-2025)

    A análise da Insikt Group da Recorded Future (Maio 2025) fornece a evidência mais recente da cadeia de ataque MintsLoader -> GhostWeaver, detalhando a comunicação C2 e o uso de DGA. Relatórios anteriores da Orange Cyberdefense confirmam a atividade do MintsLoader desde o início de 2023.

    A TRAC Labs (Fev 2025) focou nas capacidades do GhostWeaver, incluindo seu DGA semanal e comunicação TLS. Além disso, pesquisas da Kroll sobre a campanha CLEARFAKE destacam a crescente popularidade da técnica ClickFix (também usada por MintsLoader) para entregar malware como Lumma Stealer, validando a eficácia dessa tática de engenharia social em bypassar defesas tradicionais.

    A convergência dessas táticas (loader evasivo, RAT PowerShell, DGA, ClickFix) representa uma ameaça significativa e adaptável.

    “MintsLoader opera através de uma cadeia de infecção multi-estágio envolvendo scripts JavaScript e PowerShell ofuscados… [suas] principais forças residem em suas técnicas de evasão de sandbox e máquina virtual e uma implementação de DGA.”

    Insikt Group, Recorded Future (Maio 2025)

    Implicações Técnicas e Aprofundamento

    A combinação de DGA diário (MintsLoader) e semanal (GhostWeaver) com comunicação C2 sobre HTTP (MintsLoader) e TLS criptografado (GhostWeaver) demonstra uma sofisticação crescente na manutenção da persistência e no comando das máquinas infectadas.

    O uso de certificados X.509 autoassinados e ofuscados dentro do próprio script PowerShell do GhostWeaver para autenticação cliente-servidor é uma tática avançada para dificultar a interceptação e análise do tráfego C2.

    Para equipes de segurança, isso significa que a detecção baseada puramente em assinaturas de rede ou domínios estáticos é insuficiente. É necessário monitoramento comportamental, análise heurística de execução de PowerShell, e inspeção de tráfego TLS (quando possível) para identificar essas ameaças. A técnica ClickFix, explorando a confiança do usuário em copiar/colar código, também ressalta a importância crítica do treinamento contínuo de conscientização sobre segurança.

    Perguntas Frequentes MintsLoader e GhostWeaver

    Principais pontos

    • MintsLoader é um loader evasivo usando DGA diário, ofuscação e evasão de sandbox/VM.
    • Utiliza Phishing, Drive-by e a técnica ClickFix para infecção inicial.
    • Seu principal payload conhecido é o RAT PowerShell GhostWeaver, que também usa DGA e C2 via TLS.
    • Grupos como SocGholish e campanhas como LandUpdate808 utilizam MintsLoader.
    • Defesa requer segurança em camadas, monitoramento comportamental e conscientização do usuário.

    Conclusão

    MintsLoader representa uma evolução contínua nas táticas de entrega de malware, combinando engenharia social inteligente como ClickFix com técnicas robustas de evasão e comunicação C2 resiliente via DGA. Sua associação com o potente RAT GhostWeaver o torna uma ameaça dupla significativa para organizações e indivíduos.

    Compreender sua cadeia de ataque e TTPs (Táticas, Técnicas e Procedimentos) é fundamental para ajustar estratégias de defesa, enfatizando a necessidade de detecção comportamental avançada e vigilância constante contra vetores de infecção emergentes. Mantenha-se atualizado sobre inteligência de ameaças para combater eficazmente loaders como MintsLoader.

Diogo Fernando

Apaixonado por tecnologia e cultura pop, programo para resolver problemas e transformar vidas. Empreendedor e geek, busco novas ideias e desafios. Acredito na tecnologia como superpoder do século XXI.

Deixe um comentário

Posts mais visualizados