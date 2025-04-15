Ende März 2025 leitete IBM X-Force einen Incident-Response-Fall im Zusammenhang mit der südamerikanischen Cyberkriminalitätsgruppe Hive0148, die sich auf Finanzdiebstahl in der gesamten Region spezialisiert hat. Dieser Vorfall war Teil einer Reihe von groß angelegten Kampagnen, die zwischen dem 19. Februar und dem 20. März 2025 stattfanden und bei denen der Banking-Trojaner Grandoreiro an Nutzer in Mexiko und Costa Rica ausgeliefert wurde. Bei dem Vorfall erhielt ein Opfer zwei Phishing-E-Mails, von denen eine zu einem ZIP-Archiv führte, das auf dem Filesharing-Dienst mediafire[.]com gehostet wurde. Wenn beim Klicken auf die angegebene URL die Geolokalisierung des Opfers entweder für Mexiko oder Costa Rica festgestellt wird, erfolgt eine schnelle Weiterleitung zu einem contaboserver[.]net. URL zum Herunterladen der ZIP-Datei. Das Archiv enthält ein bösartiges Visual Basic Script (VBS), das nach der Ausführung eine ausführbare Datei mit einem zufällig zugewiesenen Namen startet. Die ausführbaren Dateien selbst konnten von dem infizierten System nicht wiederhergestellt werden. Das Malware-Team von X-Force analysierte jedoch das bösartige VBS, um die ausführbare Datei wiederherzustellen, die sich als Grandoreiro Loader herausstellte.
X-Force verfolgt die Verbreiter des Grandoreiro-Banking-Trojaners, die bekanntermaßen auf Unternehmen in Mexiko und Brasilien abzielen, wobei auch Ziele in Spanien, Kolumbien und Costa Rica beobachtet wurden. Grandoreiro ist ein Multi-Komponenten-Banking-Trojaner, der wahrscheinlich als Malware-as-a-Service (MaaS) betrieben wird und Merkmale wie String-Entschlüsselung, Domain-Generierungsalgorithmus (DGA) sowie die Fähigkeit aufweist, Microsoft Outlook-Clients auf infizierten Hosts zu nutzen, um weitere Phishing-E-Mails zu verbreiten. Grandoreiro enthält eine große, hart codierte Liste von Banking-Anwendungen als Ziel, die verwendet werden, um die Geräte von Opfern zu identifizieren, Zugangsdaten zu stehlen und Betrug zu begehen.
X-Force verfolgt mindestens drei Verbreiter, die unterschiedliche Versionen des Grandoreiro-Banking-Trojaners bereitstellen. Zwei von ihnen wurden als Hive0148 und Hive0149 identifiziert, während sich ein dritter noch in der Entwicklung befindet. Grandoreiro-Verbreiter werden anhand bestimmter Taktiken, Techniken und Verfahren (TTPs) gruppiert, darunter Attribute der Infektionskette, die Nutzung unterschiedlicher Loader und Command-and-Control-Techniken (C2), Phishing-Themen, Zielgruppen und Kompromittierungsindikatoren (IOCs). Phishing-Kampagnen, die Grandoreiro ausliefern, enthalten häufig Themen im Zusammenhang mit Steuerverwaltungsdiensten, der Federal Electricity Commission (CFE), elektronischer Rechnungsstellung, nationalen Banken sowie Bundesgerichten bzw. rechtlichen Benachrichtigungen.
X-Force beobachtete zwischen dem 19. Februar und dem 20. März 2025 mehrere große Hive0148-Kampagnen, die den Banking-Trojaner Grandoreiro an Nutzer in Mexiko und Costa Rica auslieferten. Die E-Mails gaben sich als Absender mehrerer Regierungsbehörden aus, darunter die mexikanische Steuerverwaltung (SAT), und gaben vor, vom Finanz- und Staatskreditministerium zu stammen. Hive0148 versendet häufig E-Mails zu Themen im Zusammenhang mit dem SAT oder der Federal Electricity Commission (CFE) oder zu finanzbezogenen Themen wie beispielsweise Rechnungsstellung.
Beobachtete Absender-E-Mail-Adressen, die Hive0148 verwendet hat:
Die E-Mail-Texte einiger beobachteter Kampagnen informieren den Empfänger darüber, dass ein Verwaltungsakt, der mit der Folio-Nummer [variiert je nach E-Mail] versendet wurde und seinem Steuerpostfach unter sat[.]gob[.]mx zur Einsicht verfügbar ist. Zur Steigerung der Authentizität enthält die E-Mail des Absenders folgende Erklärung: „SAT fordert keine persönlichen Informationen, Codes oder Passwörter per E-Mail an. Wenn Sie eine verdächtige Nachricht erhalten, leiten Sie diese nicht weiter, sondern melden Sie sie über unser Portal. Ihre personenbezogenen Daten sind gemäß den Datenschutzrichtlinien und den geltenden Steuervorschriften geschützt. Sie werden ausschließlich zur Ausübung der Befugnisse der Steuerbehörde verwendet.“ Ein weiterer E-Mail-Kontext gibt vor, von der argentinischen Bundesbehörde für öffentliche Einnahmen zu stammen, und informiert darüber, dass neue Steuerdokumente erstellt und Bußgelder verhängt wurden.
Beispiel für beobachtete E-Mail-Betreffzeilen:
In allen Kampagnen wird im E-Mail-Text ein Link zur Ansicht (beispielsweise) eines Verwaltungsakts oder eines anderen relevanten Dokuments zusammen mit dem Passwort „2025“ bereitgestellt. Nachdem ein Opfer auf den eingebetteten Link geklickt hat, öffnet sich ein Browserfenster mit einem Link zu „Documento archivo PDF“. Die URL, eine Variante von hxxps[:]//vmi2500223[.]contaboserver[.]net/, führt nach einer Geolokalisierungsprüfung für Mexiko oder Costa Rica – abhängig von der E-Mail – zum Download eines ZIP-Archivs. Befindet sich der Nutzer nicht in Mexiko oder Costa Rica, erfolgt keine Weiterleitung, und es erscheint ein Timeout-Fehler.
Die Archivdateien enthalten ein bösartiges, verschleiertes Virtual Basic Script (VBS). Ein von X-Force analysiertes VBS, VER_4138SZOLMCTOhhadOBDO.vbs, fungiert als Dropper, der Base64 dekodiert und ein eingebettetes ZIP-Archiv als %AppData%<12-stelliger-Zufallsname>.zip im System abgelegt (Beispiel: EJHAnQiepmGQ.zip). Das ZIP-Archiv enthält eine Extensible Markup Language (XML)-Datei 823213123422HFPZNBLD79004462AEMGNZNC.xml, die vom Dropper entpackt, in %AppData%\.exe<12-stelliger-Zufallsname>.exe umbenannt (Beispiel: EJHAnQiepmGQ.exe) und ausgeführt wird. Der Dropper erstellt außerdem eine Textdatei mit dem Namen %AppData%tYcEsgSvozkyMJsMKC.txt\, die den Pfad der finalen Payload enthält.
Diese Loader-Variante funktioniert ähnlich wie andere Grandoreiro-Loader, die 2024 von IBM X-Force beschrieben wurden. Wenn EJHAnQiepmGQ.exe ausgeführt wird, erstellt sie ein Mutex basierend auf dem aktuellen Datum, formatiert als M/DD/YYYYY, und zeigt dem Benutzer anschließend ein gefälschtes PDF-Dialogfeld an. Treten Fehler auf, wird vor dem Abbruch der Ausführung ein zweites gefälschtes Adobe Reader-Fehlerdialogfeld angezeigt. Sobald der Benutzer auf das Dialogfeld klickt, führt der Loader mehrere Anti-Analyse-Prüfungen durch, darunter Prüfungen auf laufende Analyse-Tool-Prozesse, Registrierungsschlüssel, Microsoft-Linkdateien auf dem Desktop des Benutzers sowie bestimmte Verzeichnisse.
Besteht das System die Prüfungen, sammelt der Loader Systeminformationen wie Benutzername, Antivirensoftware, Hostname, Volume-Seriennummer und Informationen zum Land der öffentlichen IP-Adresse, die an den C2-Server gesendet werden. Die Informationen zur öffentlichen IP-Adresse werden über http://ip-api.com/json abgerufen.
Sobald die Systeminformationen vorliegen, wird die C2-Domäne aus den Zeichenfolgen entschlüsselt. Die IP-Adresse der Domain wird über DNS over HTTPS mithilfe der URL https://dns.google/resolve?name=<C2Server> aufgelöst, um DNS-basierte Blockierungen zu umgehen. Für die analysierte Probe ist C2 crispandpotato[.]workisboring[.]com. Anschließend werden die Systeminformationen an den C2-Server gesendet und in der Regel wird der Banking-Trojaner Grandoreiro heruntergeladen.
X-Force beobachtete kürzlich eine Phishing-Kampagne, bei der sich als offizielle Regierung ausgegeben wurde, um den Grandoreiro-Banking-Trojaner zu verbreiten. Grandoreiro-Verbreiter richten sich typischerweise an Nutzer in Lateinamerika; X-Force hat jedoch beobachtet, dass die Malware auch außerhalb von LATAM verbreitet wurde, darunter in Regionen in Mittel- und Südamerika, Afrika, Europa und dem Pazifikraum. Der Grandoreiro-Banking-Trojaner umfasst mindestens 1.500 globale Banking-Anwendungen als Ziel und ermöglicht Angreifern die Durchführung von Banking-Betrug in mehr als 60 Ländern. Kampagnen, die Grandoreiro verbreiten, sind aufgrund der potenziell schwerwiegenden Folgeaktivitäten im Zusammenhang mit Banking-Trojanern bemerkenswert. Kampagnen, die zu Infektionen geführt haben, ermöglichten es Grandoreiro-Betreibern, erfolgreich Benutzerdaten wie Banking-Anmeldedaten zu erfassen, und führten dazu, dass Opfer seit mindestens 2017 vermutlich um mindestens 3,5 Millionen Euro betrogen wurden.
Wir empfehlen Unternehmen, die von diesen Kampagnen betroffen sein könnten, Folgendes zu überprüfen:
Indikator
Art des Indikators
Kontext
hxxps[:]//vmi(7digits)[.]contaboserver[.]net/
URL
Geofenced URL-Weiterleitung
5.189.171.211
IPV4-Adresse
URL-Auflösung des Contaboservers
207.180.209.104
IPV4-Adresse
URL-Auflösung des Contaboservers
5.189.180.157
IPV4-Adresse
URL-Auflösung des Contaboservers
207.180.227.44
IPV4-Adresse
URL-Auflösung des Contaboservers
173.212.198.11
IPV4-Adresse
URL-Auflösung des Contaboservers
173.212.248.93
IPV4-Adresse
URL-Auflösung des Contaboservers
62.17.169.232
IPV4-Adresse
URL-Auflösung des Contaboservers
crispandpotato[.]workisboring[.]com
FQDN
C2
