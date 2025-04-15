2025 年 3 月下旬，IBM X-Force 牵头处理了一起涉及 Hive0148 的事件响应案例，Hive0148 是一个专注于在整个南美地区进行金融盗窃的南美网络犯罪组织。该事件是 2025 年 2 月 19 日 至 3 月 20 日期间发生的一系列大型攻击活动的一部分，向墨西哥和哥斯达黎加的用户投递 Grandoreiro 银行木马。事件涉及一名受害者收到两封钓鱼邮件，其中一封引导至托管在文件共享服务 mediafire[.]com 上的 ZIP 压缩包。如果点击提供的 URL 后，确定受害者的地理位置是墨西哥或哥斯达黎加，他们会被迅速重定向到一个 contaboserver[.]net 的 URL 以下载该 ZIP 文件。压缩包包含一个恶意的 Visual Basic Script (VBS)，执行后会启动一个具有随机分配名称的可执行文件。受感染系统本身未能恢复这些可执行文件。然而，X-Force 恶意软件团队通过分析恶意 VBS 脚本恢复了该可执行文件，发现它是一个 Grandoreiro 加载器。

X-Force 追踪到投递 Grandoreiro 银行木马的分发者，已知其针对墨西哥和巴西的实体，但也观察到西班牙、哥伦比亚和哥斯达黎加的目标。Grandoreiro 是一种多组件的银行木马，很可能以恶意软件即服务模式运作，具有 字符串解密、域名生成算法等特征，并且能够利用受感染主机上的 Microsoft Outlook 客户端进一步传播钓鱼邮件。 Grandoreiro 包含一个庞大的硬编码目标银行应用程序列表，用于枚举受害者设备、窃取凭证并进行欺诈。

X-Force 至少追踪到三个分发者部署不同版本的 Grandoreiro 银行木马，其中两个被识别为 Hive0148 和 Hive0149，第三个正在开发中。Grandoreiro分发者根据特定的战术、技术和程序 (TTP) 进行分组，例如感染链属性（包括使用不同的加载器和命令与控制 (C2) 技术）、钓鱼主题、目标以及入侵指标 (IOC)。投递 Grandoreiro 的钓鱼活动通常包含与税务管理服务局、联邦电力委员会 (CFE)、电子账单、国家银行以及联邦法院/法律通知相关的主题。