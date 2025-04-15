No final de março de 2025, a IBM X-Force liderou um caso de resposta a incidentes envolvendo o Hive0148, um grupo sul-americano de crimes cibernéticos focado em roubo financeiro em toda a região. Esse incidente fez parte de uma série de grandes campanhas ocorridas entre 19 de fevereiro e 20 de março de 2025, entregando o trojan bancário Grandoreiro a usuários no México e na Costa Rica. O incidente envolveu uma vítima que recebeu dois e-mails de phishing, um dos quais levou a um arquivo ZIP hospedado no serviço de compartilhamento de arquivos mediafire[.]com. Se, ao clicar no URL fornecido, a geolocalização da vítima for estabelecida para o México ou a Costa Rica, ela será rapidamente redirecionada para um contaboserver[.]net URL para baixar o arquivo ZIP. O arquivo contém um Visual Basic Script (VBS) malicioso que, após a execução, inicia um arquivo executável com um nome atribuído aleatoriamente. Os próprios executáveis não puderam ser recuperados do sistema infectado. No entanto, a equipe de malware da X-Force analisou o VBS malicioso para recuperar o executável, que revelou ser um Grandoreiro Loader.
O X-Force rastreia distribuidores que entregam o trojan bancário Grandeiro que têm como alvo entidades no México e no Brasil, embora alvos na Espanha, Colômbia e Costa Rica tenham sido observados. O Grandoreiro é um trojan bancário de vários componentes, provavelmente operado como Malware-as-a-Service (MaaS), apresentando funcionalidades como descriptografia de string, algoritmo de geração de domínio (DGA), bem como a capacidade de usar clientes Microsoft Outlook em hosts infectados para espalhar mais e-mails de phishing. O Grandoreiro contém uma grande lista codificada de aplicações bancárias direcionadas que usa para enumerar os dispositivos das vítimas, roubar credenciais e cometer fraudes.
A X-Force rastreia pelo menos três distribuidores que implementam versões diferentes do trojan bancário Grandoreiro, dois identificados como Hive0148 e Hive0149, e um terceiro em desenvolvimento. Os distribuidores do Grandoreiro são agrupados com base em determinadas táticas, técnicas e procedimentos (TTPs), como atributos da cadeia de infecção, incluindo o uso de diferentes carregadores e técnicas de comando e controle (C2), temas de phishing, alvos e indicadores de comprometimento (IOCs). As campanhas de phishing que entregam o Grandoreiro geralmente contêm temas relacionados aos Serviços de Administração Fiscal, à Comissão Federal de Eletricidade (CFE), à fatura eletrônica, aos bancos nacionais e aos tribunais federais/notificações legais.
Phishing, Malware
A X-Force observou várias campanhas grandes do Hive0148 entregando o trojan bancário Grandoreiro a usuários no México e na Costa Rica entre 19 de fevereiro e 20 de março de 2025. Os e-mails falsificam várias organizações do Governo, incluindo os Serviços de Administração Fiscal do México (SAT), com e-mails afirmando ser da Secretaria de Finanças e Crédito Público. O Hive0148 frequentemente envia e-mails com temas relacionados ao SAT ou à Federal Electricity Commission (CFE), ou relacionados a finanças, como faturamento.
Endereços de e-mail do remetente observados usados pelo Hive0148:
Os corpos de e-mail de algumas campanhas observadas informam ao destinatário que um ato administrativo identificado com o número do fólio: [varia de acordo com o e-mail ] foi enviado e está disponível para revisão na caixa de entrada de impostos em sat[.]gob[.]mx. Provavelmente quanto à autenticidade, o remetente do e-mail inclui a seguinte declaração: "O SAT não solicita informações pessoais, códigos ou senhas por e-mail. Se você receber uma mensagem suspeita, não a compartilhe e denuncie através de nosso portal. Os seus dados pessoais são protegidos de acordo com as Diretrizes de Proteção de Dados Pessoais e com as regulamentações fiscais em vigor. Eles são usados exclusivamente para exercer os poderes da Autoridade Fiscal. O contexto de e-mail adicional alega ser da Administração Federal de Rendas Públicas da Argentina, declarando que novos documentos fiscais foram gerados e que multas incorreram.
Amostra de assuntos de e-mail observados:
Em todas as campanhas, é fornecido um link para visualizar o ato administrativo (por exemplo) ou outro documento relevante no corpo do e-mail juntamente com a senha "2025". Após a vítima clicar no link incorporado, um navegador é aberto para revelar um link para "Documentoa rchivo PDF". A URL, que é uma variação de hxxps[:]//vmi2500223[.]contaboserver[.]net/, leva a um download de arquivo ZIP após uma verificação de geolocalização para México ou Costa Rica, dependendo do e-mail. Se o usuário não estiver no México ou na Costa Rica, ele não será redirecionado e um erro de tempo limite será exibido.
Os arquivos compactados contêm um Virtual Basic Script (VBS) malicioso e ofuscado. Um VBS analisado pela X-Force, VER_4138SZOLMCTOhhadOBDO.vbs, funciona como um dropper que base64 decodifica e solta um arquivo ZIP incorporado no sistema como %AppData%\<12-char-random-name>.zip (exemplo: EJHAnQiepmGQ.zip). O arquivo ZIP contém um arquivo Extensible Markup Language (XML) 823213123422HFPZNBLD79004462AEMGNZNC.xml que é descompactado pelo dropper, renomeado para %AppData%\<12-char-random-name>.exe (exemplo: EJHAnQiepmGQ.exe) e executado. O dropper também cria um arquivo de texto chamado %AppData%\tYcEsgSvozkyMJsMKC.txt que contém o caminho da carga útil final.
Essa variante do loader opera de forma semelhante a outros loaders do Grandoreiro, conforme detalhado em 2024 pelo IBM X-Force. Quando o EJHAnQiepmGQ.exe é executado, ele cria um mutex baseado na data atual, formatado como M/DD/AAAAe, em seguida, exibe uma caixa de diálogo PDF falsa para o usuário. Se ocorrer algum erro, uma segunda caixa de diálogo de erro falso do Adobe Reader será exibida antes que a execução termine. Depois que o usuário clica na caixa de diálogo, o carregador executa várias verificações de anti-análise para executar processos de ferramentas de análise, chaves de registro, arquivos de link da Microsoft na área de trabalho do usuário e determinados diretórios.
Se o sistema passar nas verificações, o carregador reunirá informações do sistema, como nome de usuário, software antivírus, nome do host, número de série do volume e informações de país IP público a serem enviadas ao servidor C2. As informações de IP público são obtidas em http://ip-api.com/json.
Depois que as informações do sistema são obtidas, o domínio C2 é descriptografado a partir de strings. O IP do domínio é resolvido via DNS por HTTPS por meio do URL https://dns.google/resolve?name=<C2Server> para contornar o bloqueio baseado em DNS. Para a amostra analisada, o C2 é crispandpotato[.]workisboring[.]com. As informações do sistema são então enviadas para o C2 e, normalmente, o Trojan bancário Grandoreiro é baixado.
A X-Force observou uma recente campanha de phishing que se passou por entidades governamentais oficiais para entregar o trojan bancário Grandoreiro. Os distribuidores do Grandoreiro normalmente têm como alvo os usuários da América Latina; no entanto, a X-Force observou que o malware está sendo espalhado fora da LATAM para incluir regiões da América Central e do Sul, África, Europa e Pacífico. O trojan bancário Grandoreiro inclui pelo menos 1.500 aplicações bancárias globais como alvo, que apoiam a execução e permitem que os invasores realizem fraudes bancárias em mais de 60 países. As campanhas que entregam o Grandoreiro são notáveis devido ao potencial de atividade de alto impacto associada aos trojans bancários. Campanhas que resultaram em infecções levaram os operadores do Grandoreiro a capturar com sucesso dados dos usuários, como credenciais de acesso bancário, e resultaram em vítimas defraudadas em provavelmente pelo menos 3,5 milhões de euros desde, pelo menos, 2017.
Incentivamos as organizações que possam ser afetadas por essas campanhas a revisar as seguintes recomendações:
Indicador
Tipo de indicador
Contexto
hxxps[:]//vmi(7digits)[.]contaboserver[.]net/
URL
Redirecionamento de URL com geolocalização
5.189.171.211
Endereço IPV4
Resolução de URL do Contaboserver
207.180.209.104
Endereço IPV4
Resolução de URL do Contaboserver
5.189.180.157
Endereço IPV4
Resolução de URL do Contaboserver
207.180.227.44
Endereço IPV4
Resolução de URL do Contaboserver
173.212.198.11
Endereço IPV4
Resolução de URL do Contaboserver
173.212.248.93
Endereço IPV4
Resolução de URL do Contaboserver
62.17.169.232
Endereço IPV4
Resolução de URL do Contaboserver
crispandpotato[.]workisboring[.]com
FQDN
C2
