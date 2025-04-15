في أواخر مارس 2025، قادت IBM X-Force حالة استجابة للحوادث تشمل Hive0148، وهي مجموعة جرائم إلكترونية في أمريكا الجنوبية تركِّز على سرقة الأموال في المنطقة. كانت هذه الحادثة جزءًا من سلسلة حملات كبيرة جرت بين 19 فبراير و20 مارس 2025، حيث تم توصيل حصان طروادة البنكي Grandoreiro للمستخدمين في المكسيك وكوستاريكا. شملت الحادثة تلقي الضحية لرسالتين تصيّد، إحداهما أدت إلى أرشيف ZIP مستضاف على خدمة مشاركة الملفات mediafire[.]com. في حال النقر على عنوان URL المرفق وتحديد الموقع الجغرافي للضحية على أنه في المكسيك أو كوستاريكا، تتم إعادة توجيهها بسرعة إلى عنوان URL تابع لـ contaboserver[.]net لتنزيل ملف ZIP. يحتوي الأرشيف على نص برمجي خبيث بلغة Visual Basic (VBS)، يقوم عند تنفيذه بتشغيل ملف تنفيذي يحمل اسمًا عشوائيًا. لم يكن بالإمكان استعادة الملفات التنفيذية نفسها من النظام المتضرر. ومع ذلك، قامت فرقة البرمجيات الخبيثة في X-Force بتحليل سكريبت VBS الضار لاستعادة الملف التنفيذي، الذي تبين أنه محمِّل Grandoreiro.

تتابع X-Force موزعي حصان طروادة البنكي Grandoreiro المعروفين باستهدافهم لكيانات في المكسيك والبرازيل، رغم أنه تم رصد أهداف في إسبانيا وكولومبيا وكوستاريكا أيضًا. يُعَد Grandoreiro حصان طروادة بنكيًا متعدد المكونات من المحتمل تشغيله كنموذج برنامج ضار كخدمة (MaaS)، ويتميّز بخصائص مثل فك تشفير السلاسل النصية، وخوارزمية توليد النطاقات (DGA)، بالإضافة إلى القدرة على استخدام عملاء Microsoft Outlook على الأجهزة المصابة لنشر رسائل تصيّد إضافية. يحتوي Grandoreiro على قائمة كبيرة مشفرة مسبقًا لتطبيقات بنكية مستهدفة، يستخدمها لتعداد أجهزة الضحايا وسرقة بيانات الاعتماد وارتكاب الاحتيال.

تتابع X-Force ما لا يقل عن ثلاثة موزعين ينشرون نسخًا مختلفة من حصان طروادة البنكي Grandoreiro، اثنان منهما معروفان باسم Hive0148 وHive0149، والثالث قيد التطوير. يتم تصنيف موزعي Grandoreiro استنادًا إلى بعض الأساليب والتقنيات والإجراءات (TTPs)، مثل خصائص سلسلة الإصابة، بما في ذلك استخدام محمِّلات مختلفة وتقنيات القيادة والتحكم (C2)، وموضوعات التصيّد، والأهداف، ومؤشرات الاختراق (IOCs). غالبًا ما تحتوي حملات التصيّد التي توصِل Grandoreiro على موضوعات مرتبطة بخدمات إدارة الضرائب، وهيئة الكهرباء الفيدرالية (CFE)، والفوترة الإلكترونية، والبنوك الوطنية، والإشعارات القضائية/الفيدرالية.