Anfang Mai 2025 beobachtete IBM X-Force, wie Hive0131 E-Mail-Kampagnen mit elektronischen Benachrichtigungen über Strafverfahren gegen Nutzer in Kolumbien durchführte, die angeblich von der Justiz Kolumbiens stammten. Hive0131 ist eine finanziell motivierte Gruppe, die vermutlich aus Südamerika stammt und routinemäßig Kampagnen hauptsächlich in Lateinamerika (LATAM) durchführt, um eine breite Palette an Payloads zu verbreiten. Die aktuellen Kampagnen imitieren offizielle Korrespondenz und enthalten entweder einen eingebetteten Link oder einen PDF-Köder mit einem eingebetteten Link. Ein Klick auf den eingebetteten Link initiiert die Infektionskette, um den Banking-Trojaner „DCRat“ im Speicher auszuführen.
DCRat wird als Malware-as-a-Service (Malware) betrieben, tauchte erstmals mindestens im Jahr 2018 auf und wurde stark in russischen Cyberkriminalitätsforen beworben. Ein zweimonatiges Abonnement kostet etwa 7 US-Dollar. Die Präsenz von DCRat ist weit verbreitet und erfreut sich seit mindestens 2024 in LATAM zunehmender Beliebtheit. Im Sommer 2024 beobachtete X-Force mehrere Kampagnen, die sich stark auf Unternehmen in Kolumbien konzentrierten und ein Unternehmen LATAM imitierten, das sich auf elektronische Dokumenten-Ökosysteme in Mexiko und Kolumbien spezialisiert hat. Aufgrund der Unterschiede in der Infektionskette und der Bereitstellung von DCRat geht X-Force jedoch davon aus, dass die Kampagne aus dem Jahr 2024 und die aktuellen Kampagnen von unterschiedlichen Akteuren durchgeführt wurden. Die im Jahr 2024 beobachteten Kampagnen stützten sich stark auf passwortgeschützte RAR-Archive mit NSIS, um einen GuLoader-Downloader auszuführen, während die aktuellen Kampagnen auf einen obfuskierten .NET-Loader zurückgreifen, den wir VMDetectLoader genannt haben.
DCRat wird mit Plugins ausgeliefert, die folgende Aufgaben ausführen können, wobei Bedrohungsakteure auch benutzerdefinierte Plugins erstellen können, um zusätzliche Aufgaben umzusetzen:
MaaS
Anfang Mai 2025 beobachtete X-Force E-Mail-Kampagnen von Hive0131, die die kolumbianische Justiz (Rama Judicial de Colombia) imitierten und vorgaben, vom Zivilgerichtshof von Bogotá, Kolumbien, zu stammen, um elektronische Benachrichtigungen über Strafverfahren zu versenden. Die beobachteten Kampagnen enthalten entweder einen PDF-Köder mit einem Link zu einer TinyURL oder einen eingebetteten Link zu einem Google Docs-Speicherort.
Übersicht der Infektionskette – PDF mit TinyURL
Bei den E-Mails mit einem PDF-Köder, der zu einer TinyURL führt, wird das Opfer auf ein ZIP-Archiv mit dem Namen 1Juzgado 08 Civil Circuito de Bogotá Notificacion electronica Orden de Embargo.Uue umgeleitet. Das ZIP-Archiv enthält harmlose Dateien sowie eine schädliche JavaScript-Datei mit dem Namen 1Juzgado 08 Civil Circuito de Bogotá Notificacion electronica Orden de Embargo.js. Die JavaScript-Datei lädt eine JavaScript-Payload von einer Paste[.]ee-Website herunter und führt sie aus. Diese Payload führt anschließend einen PowerShell-Befehl aus, der ein JPG von hxxps://archive[.]org/download/new_ABBAS/new_ABBAS.jpg herunterlädt, wobei am Ende der Datei ein Base64-kodierter Loader angehängt ist. Nach der Ausführung lädt der Loader DCRat herunter und führt es im Speicher aus.
Der Loader trägt den Namen VMDetectLoader , da er erkennen kann, ob er in einer Sandbox-Umgebung ausgeführt wird. Die Analyse zeigt, dass der Loader auf dem Open-Source-Projekt https://github.com/robsonfelix/VMDetector basiert.
Übersicht der Infektionskette – Eingebetteter Google Docs-Link
Diese Infektionskette wird durch Phishing-E-Mails ausgelöst, die einen Link zu einem Google-Docs-Download eines passwortgeschützten ZIP-Archivs namens CUI 158616000129-2025-10047_122011111777.zip enthalten, dessen Passwort in der E-Mail angegeben ist und 3004 lautet. Das Archiv enthält einen Batch-Datei-Downloader, CUI 158616000129-2025-10047_122011111777.bat, der eine obfuskierte VBScript-Komponente (VBS) herunterlädt und
Die endgültige Payload wird dann von VMDetectLoader über Paste[.]ee-URL heruntergeladen, die ihm vom PowerShell-Skript übergeben wird.
VMDetectLoader ist ein obfuskierter .NET-Loader (Microsoft.Win32.TaskScheduler.dll), der auf VirusTotal unter https://www.virustotal.com/gui/file/0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7 zu finden sind. Die Analyse der Metadaten des Loaders zeigt, dass der Code auf dem Open-Source-Projekt https://github.com/robsonfelix/VMDetector basiert.
Assembly-Attribute:
Bevor die Payload geladen wird, erkennt der Loader virtuelle Maschinen und gibt bei erkannter VM eine Liste der Host-Attribute auf der Konsole aus. Zum Beispiel:
Kernfunktionalität
VMDetectLoader wird über seine
Argument
Beschreibung
$storeman
Umgekehrte Pastee-URL, von der eine Base64-kodierte Payload heruntergeladen wird.
MSBuilld
Zielinjektionsprozess
C:\Users\Public\Downloads
Pfad, der beim Erstellen einer geplanten Aufgabe verwendet wird:
C:\Users\Public\Downloads\rhabdosteus.js
1
Flag, das Prozessprüfungen anzeigt
bimetallism
Name der geplanten Aufgabe
Während der Ausführung entschlüsselt VMDetectLoader bei Bedarf relevante Zeichenfolgen aus der .NET-Ressource „hIXS“ per XOR.
Beispielhafte entschlüsselte Zeichenketten
Persistenz
Sofern entsprechend konfiguriert, wird eine geplante Aufgabe erstellt, die den folgenden PowerShell-Befehl ausführt, der eine JavaScript-Payload herunterlädt und ausführt:
Eine weitere Aufgabe kann, sofern konfiguriert, erstellt werden, um die JavaScript-Payload mit folgendem Befehl auszuführen:
Der Loader kann außerdem einen Registry-Run-Key erstellen, um die Payload auszuführen:
Process Injection
VMDetectLoader verfügt über die Fähigkeit, die Process Hollowing Injection-Technik zu nutzen, um eine Payload in verschiedene Zielprozessinstanzen zu laden. Zum Beispiel ist für die analysierte Kampagne entweder C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe (32-Bit) oder C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe (64-Bit) der Zielprozess. Die Funktion, die für die Prozessinjektion verantwortlich ist, heißt HackForums.gigajew.x64.Load() für 64-Bit-Samples und dnlib.IO.Tools.Ande() für 32-Bit-Samples.
Process-Hollowing-Injection-Prozess:
Wenn VMDetectLoader feststellt, dass es in einer sicheren Umgebung ausgeführt wird, wird die finale Payload durch Process Hollowing geladen. In diesem Fall handelt es sich bei der finalen Payload um DCRat mit den folgenden Konfigurationsdaten.
X-Force verfolgt mehrere Gruppen, die im lateinamerikanischen Bedrohungsumfeld aktiv sind und E-Mail-Kampagnen zur Bereitstellung von MaaS durchführen, um finanzielle Gewinne zu erzielen. Zu den überwachten Gruppen gehören Hive0148 und Hive0149, die sich auf die Verbreitung des Grandoriero-Banking-Trojaners konzentrieren, Hive0153, die die Malware Adwind und SambaSpy verbreiten, sowie Hive0131. Obwohl sich Hive0131 in der Regel auf Operationen mit Malware wie QuasarRAT und NjRAT konzentriert, hat X-Force eine Zunahme von Kampagnen mit DCRat beobachtet. Angesichts der stetigen und anhaltenden Beobachtungen von Malware, die an Benutzer in LATAM ausgeliefert wird, geht IBM X-Force davon aus, dass Lateinamerika auch weiterhin Ziel von Bedrohungsakteuren sein wird, die versuchen, Banking-Trojaner über Phishing-Kampagnen einzusetzen, um Zugangsdaten und andere sensible Informationen zu erlangen.
Organisationen in LATAM werden ermutigt, bei E-Mails mit Anhängen, Links oder Download-Aufforderungen vorsichtig zu sein. Darüber hinaus wird Unternehmen empfohlen, Folgendes zu tun:
Indikator
Art des Indikators
Kontext
4ce1d456fa8831733ac01c4a2a32044b6581664d3
SHA256
Carrier-Datei
6a632d8356f42694adb21c064aa9e8710b65addd
SHA256
ZIP-Archiv
1603c606d62e7794da09c51ca7f321bb555044916
SHA256
DCRat
ceb88c09069b5ddc8ca525b7f2e26c4852465bc0
SHA256
JS
0df13fd42fb4a4374981474ea87895a3830eddcc7f3
SHA256
Obfuscated .NET Loader
db21cc64fb7a7ed9075c96600b7e7e7007a0df7cb8
SHA256
ZIP-Archiv
3c95678d140825b56e04298ce6238ce22b34611d25
SHA256
PS-Skript
7c3fbea63b7cdf013ef26831bb1850c80f4bfad0103328
SHA256
PS-Skript
b16588e0e2c6a0c8ff080ded57abe8159008d040ae
SHA256
Batch Script Downloader
hxxps://tinyurl[.]com/2ypy4jrz?id=5541213d-0ed8
URL
Eingebetteter PDF-Link
hxxp://paste[.]ee/d/bx699sF9/0
URL
Payload Download-URL
hxxps://docs[.]google[.]com/uc?export=download&id=1aJuQtm8YUqZv12E-atslt_GvBWZ
URL
Eingebetteter E-Mail-Link
hxxp://paste[.]ee/d/jYHEqBJ3/0
URL
Payload Download-URL
hxxps://archive[.]org/download/new_ABBAS/new_
URL
JPG-Download-URL
hxxps://ia601205.us.archive[.]org/26/items/new_
-URL
JPG-Download-URL
