Ende März 2025 leitete IBM X-Force einen Incident-Response-Fall im Zusammenhang mit der südamerikanischen Cyberkriminalitätsgruppe Hive0148, die sich auf Finanzdiebstahl in der gesamten Region spezialisiert hat. Dieser Vorfall war Teil einer Reihe von groß angelegten Kampagnen, die zwischen dem 19. Februar und dem 20. März 2025 stattfanden und bei denen der Banking-Trojaner Grandoreiro an Nutzer in Mexiko und Costa Rica ausgeliefert wurde. Bei dem Vorfall erhielt ein Opfer zwei Phishing-E-Mails, von denen eine zu einem ZIP-Archiv führte, das auf dem Filesharing-Dienst mediafire[.]com gehostet wurde. Wenn beim Klicken auf die angegebene URL die Geolokalisierung des Opfers entweder für Mexiko oder Costa Rica festgestellt wird, erfolgt eine schnelle Weiterleitung zu einem contaboserver[.]net. URL zum Herunterladen der ZIP-Datei. Das Archiv enthält ein bösartiges Visual Basic Script (VBS), das nach der Ausführung eine ausführbare Datei mit einem zufällig zugewiesenen Namen startet. Die ausführbaren Dateien selbst konnten von dem infizierten System nicht wiederhergestellt werden. Das Malware-Team von X-Force analysierte jedoch das bösartige VBS, um die ausführbare Datei wiederherzustellen, die sich als Grandoreiro Loader herausstellte.

X-Force verfolgt die Verbreiter des Grandoreiro-Banking-Trojaners, die bekanntermaßen auf Unternehmen in Mexiko und Brasilien abzielen, wobei auch Ziele in Spanien, Kolumbien und Costa Rica beobachtet wurden. Grandoreiro ist ein Multi-Komponenten-Banking-Trojaner, der wahrscheinlich als Malware-as-a-Service (MaaS) betrieben wird und Merkmale wie String-Entschlüsselung, Domain-Generierungsalgorithmus (DGA) sowie die Fähigkeit aufweist, Microsoft Outlook-Clients auf infizierten Hosts zu nutzen, um weitere Phishing-E-Mails zu verbreiten. Grandoreiro enthält eine große, hart codierte Liste von Banking-Anwendungen als Ziel, die verwendet werden, um die Geräte von Opfern zu identifizieren, Zugangsdaten zu stehlen und Betrug zu begehen.

X-Force verfolgt mindestens drei Verbreiter, die unterschiedliche Versionen des Grandoreiro-Banking-Trojaners bereitstellen. Zwei von ihnen wurden als Hive0148 und Hive0149 identifiziert, während sich ein dritter noch in der Entwicklung befindet. Grandoreiro-Verbreiter werden anhand bestimmter Taktiken, Techniken und Verfahren (TTPs) gruppiert, darunter Attribute der Infektionskette, die Nutzung unterschiedlicher Loader und Command-and-Control-Techniken (C2), Phishing-Themen, Zielgruppen und Kompromittierungsindikatoren (IOCs). Phishing-Kampagnen, die Grandoreiro ausliefern, enthalten häufig Themen im Zusammenhang mit Steuerverwaltungsdiensten, der Federal Electricity Commission (CFE), elektronischer Rechnungsstellung, nationalen Banken sowie Bundesgerichten bzw. rechtlichen Benachrichtigungen.