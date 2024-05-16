Desde marzo de 2024, IBM X-Force ha estado siguiendo varias campañas de phishing a gran escala que distribuyen el troyano bancario Grandoreiro, que probablemente opera como un Malware como Servicio (MaaS). El análisis del malware reveló importantes actualizaciones dentro del algoritmo de descifrado de cadenas y generación de dominios (DGA), así como la capacidad de utilizar clientes de Microsoft Outlook en hosts infectados para difundir más correos electrónicos de phishing. La última variante de malware también se dirige específicamente a más de 1500 bancos globales, lo que permite a los atacantes realizar fraudes bancarios en más de 60 países, incluidas regiones de América Central y del Sur, África, Europa y el Indo-Pacífico. Aunque las campañas se han limitado tradicionalmente a América Latina, España y Portugal, X-Force observó campañas recientes que se hacían pasar por el Servicio de Administración Tributaria de México (SAT), la Comisión Federal de Electricidad de México (CFE), la Secretaría de Administración y Finanzas de México, el Servicio de Impuestos de Argentina, y, en particular, el Servicio Tributario de Sudáfrica (SARS). El malware reelaborado y la nueva orientación pueden indicar un cambio en la estrategia desde la última acción policial contra Grandoreiro, lo que probablemente induzca a los operadores a comenzar a expandir la implementación de Grandoreiro en campañas globales de phishing, comenzando con Sudáfrica.
Boletín del sector
Manténgase al día sobre las tendencias más importantes e intrigantes del sector en materia de IA, automatización, datos y mucho más con el boletín Think. Consulte la Declaración de privacidad de IBM.
Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.
Desde marzo de 2024, X-Force ha observado campañas de phishing que se hacen pasar por el Servicio de Administración Tributaria (SAT) de México, la Comisión Federal de Electricidad (CFE) de México, la Secretaría de Administración y Finanzas de la ciudad de México y el Servicio de Impuestos de Argentina. Los correos electrónicos están dirigidos a usuarios de América Latina, incluidos los dominios de nivel superior (TLD) de México, Colombia y Chile ".mx", ".co" y".cl". Las identidades reales se han suprimido de las imágenes por motivos de privacidad personal.
La primera campaña parece ser un intento de ser percibida como oficial y urgente e informa al objetivo de que está recibiendo una notificación final sobre un débito a la Tasa Federal de Registro de Contribuyentes (RFC) que no se ha pagado. En caso de impago, las consecuencias pueden incluir sanciones, multas y el bloqueo del número de identificación fiscal del usuario, lo que afecta a la capacidad del objetivo para realizar negocios y acceder a los servicios de gobierno de forma legal. Una campaña adicional se hace pasar por la Comisión Federal de Electricidad (CFE) de México y recuerda al destinatario que se suscribió a CFEMail y, por lo tanto, puede acceder a su extracto de cuenta en formato PDF y XML haciendo clic en uno de los enlaces incrustados. Una tercera campaña, imitando a la Secretaría de Administración y Finanzas, dirige al destinatario a hacer clic en un PDF para leer los detalles relativos a un aviso de cumplimiento. Una campaña que imita al Servicio de Hacienda de Argentina instruye al usuario a descargar un nuevo documento fiscal y tomar las acciones correspondientes.
En cada campaña, se indica a los destinatarios que hagan clic en un enlace para ver una factura o tarifa, un extracto de cuenta, realizar un pago, etc., según la entidad suplantada. Si el usuario que hace clic en los enlaces se encuentra dentro de un país concreto (según la campaña, México, Chile, España, Costa Rica, Perú o Argentina), se le redirige a la imagen de un icono PDF y se descarga un archivo ZIP en segundo plano. Los archivos ZIP contienen un gran ejecutable disfrazado con un icono de PDF, que se descubrió que se había creado el día anterior o el día en que se envió el correo electrónico.
Fig 1, 2: Ejemplos de correos electrónicos que se hacen pasar por SAT y CFE
Fig 3, 4: Secretaría de Administración y Finanzas y AFIP
Normalmente, el malware Grandoreiro se ve en campañas dirigidas a usuarios de América Latina; sin embargo, tras las recientes detenciones realizadas a operadores de Grandoreiro, X-Force ha visto un aumento en las campañas que llegan a zonas fuera de LATAM, incluidos los TLD de España, Japón, los Países Bajos e Italia. X-Force observó una campaña de phishing que se hacía pasar por el Servicio de Impuestos de Sudáfrica (SARS), que pretendía ser de la División de Servicios de Asistencia al Contribuyente. Probablemente ejecutada por el mismo operador, X-Force también observó dos campañas que se hacían pasar por el Servicio de Administración Tributaria de México. Los correos electrónicos se escriben en inglés o español y tienen el mismo formato. Los correos electrónicos hacen referencia a un número fiscal e informan al destinatario de que está recibiendo una factura fiscal electrónica que cumple con las normas establecidas por el Servicio Tributario de Sudáfrica o con las normas del Servicio de Administración Tributaria. El usuario recibe un enlace PDF o XML para ver la factura que inicia una descarga de archivo ZIP que contiene el ejecutable del cargador Grandoreiro "SARS 35183372 eFiling 32900947.exe" (los dígitos varían entre muestras).
Fig 5, 6, 7: Ejemplos de correos electrónicos que se hacen pasar por SAT y SARS
Al igual que en campañas anteriores, la cadena de infección de Grandoreiro comienza con un cargador personalizado. A menudo, el ejecutable se infla hasta un tamaño de más de 100 MB para impedir el análisis antivirus automático. Con la esperanza de eludir la ejecución automatizada, muestra una pequeña ventana emergente CAPTCHA que imita al lector de PDF de Adobe, que requiere un clic para continuar con la ejecución.
Fig 8: Grandoreiro falso lector de PDF de Adobe CAPTCHA
El cargador tiene tres tareas principales:
Todas estas tareas requieren más de 120 cadenas importantes, que se encriptan utilizando un algoritmo mejorado.
En primer lugar, Grandoreiro comienza generando una cadena de clave grande, codificada de forma rígida y codificada en base64 tres veces consecutivas. La clave observada en estas muestras comienza con “D9JL@2]790B{P_D}Z-MXR&EZLI%3W>#VQ4UF+O6XVWB16713NIO!E…”. A continuación, coja la cadena cifrada y utilice una descodificación personalizada para convertirla en una serie de caracteres hexadecimales interpretados como bytes.
Fig 9: Codificación hexadecimal personalizada Grandoreiro (tenga en cuenta que la codificación de caracteres no hexadecimales como '”' nunca se utiliza)
Grandoreiro descifra el resultado mediante el antiguo algoritmo de Grandoreiro usando la cadena de claves. A continuación se muestra una implementación en Python de la rutina de descifrado:
Por último, se somete a una ronda final de descifrado de CBC AES de 256 bits para recuperar la cadena de texto plano. Tanto la clave AES como el vector de inicio (IV) también se almacenan como cadenas cifradas y deben descifrarse utilizando el mismo algoritmo que el anterior, pero omitiendo el descifrado AES. El siguiente gráfico ofrece una visión general del proceso de descifrado completo:
Fig 10: Descifrado de la cadena del cargador Grandoreiro
Para verificar que la víctima no forma parte de un entorno aislado, el cargador Grandoreiro recopila la siguiente información y la compara con una lista de valores codificados (consulte el apéndice):
Este paso de verificación también se utiliza para desautorizar a las víctimas de determinados países. Una muestra no continuó la ejecución de infecciones con IP públicas de:
La muestra también evitó infecciones de máquinas con Windows 7 que funcionaban desde EE. UU. sin antivirus.
El siguiente paso de ejecución intenta crear un perfil básico de la víctima para mostrarlo en el panel C2. El malware enumera la siguiente información en la máquina víctima:
Grandoreiro concatena los resultados utilizando la cadena “*~+” y los envía como parte de la solicitud de carga útil cifrada al servidor C2.
El servidor C2 del cargador Grandoreiro se puede descifrar mediante el mismo algoritmo explicado anteriormente. El nombre de dominio resultante se resuelve mediante DNS sobre HTTPS a través de la URL https://dns.google/resolve?name=<C2 server> para eludir el bloqueo basado en DNS. Después de recibir la dirección IP de C2, el malware coge los primeros 4 dígitos de la IP y ejecuta 4 asignaciones diferentes de dígito a dígito sobre ella, lo que da como resultado el número de puerto de 4 dígitos.
A continuación, concatena la cadena de perfiles de la víctima de arriba junto con un mensaje en portugués en mayúsculas "CLIENT_SOLICITA_DDS_MDL" (probablemente traducido como "El cliente pide datos del módulo"). Un ejemplo de cadena sería:
La cadena se cifra y se envía como ruta URL mediante una solicitud HTTP GET al servidor C2 solicitando la carga útil final de Grandoreiro.
Si tiene éxito, el servidor C2 responde con un código de estado HTTP 200 que contiene otro mensaje cifrado. Contiene la siguiente información:
Ejemplo:
Para descargar, Grandoreiro emite otra solicitud HTTP GET a la URL de carga útil. El archivo descargado se almacena en el nombre de directorio especificado en "C:\ProgramData\". A continuación, el archivo se descifra mediante un algoritmo basado en RC4 utilizando la clave "7684223510". Por último, se descomprime utilizando la biblioteca "ZipForge" de Delphi y se elimina el archivo descargado originalmente.
El archivo puede contener dos archivos, un .EXE (troyano bancario de Grandoreiro) y un .CFG (archivo de configuración).
Antes de la ejecución, el cargador realiza una enumeración de la pertenencia al grupo del token de proceso actual, comprobando específicamente la presencia del SID SECURITY_NT_AUTHORITY. Si el proceso posee los privilegios necesarios, el cargador utiliza la función ShellExecuteW() con el verbo "runas" para ejecutar la carga útil de Grandoreiro con privilegios elevados. Por el contrario, si los privilegios necesarios no están disponibles, el cargador recurre a ejecutarse por sí mismo a través de ShellExecuteW () sin elevación.
Durante todas las etapas de la infección (la descarga de la carga, el descifrado y la ejecución), el cargador Grandoreiro envía mensajes de estado a su servidor C2. Algunos ejemplos son:
La última carga útil es el troyano bancario Grandoreiro. La última versión ha sufrido importantes actualizaciones, principalmente en los algoritmos de descifrado de cadenas y de cálculo de la DGA. También ha incluido un gran número de aplicaciones bancarias globales para dirigirse, apoyar la ejecución y permitir que los atacantes realicen fraudes bancarios en decenas de países. Junto con un módulo de propagación especializado en Outlook y una amplia gama de características, es uno de los mayores troyanos bancarios conocidos y su análisis sigue en curso. Las siguientes secciones presentan una mirada en profundidad a las características más notables de Grandoreiro, destacando sus características y funcionalidades esenciales.
Grandoreiro comienza estableciendo la persistencia a través del registro de Windows. Ejecuta el siguiente comando para crear una nueva clave de registro Run y lanzar el malware al iniciar sesión del usuario:
Tenga en cuenta que el nombre de la clave puede diferir entre las muestras, pero a menudo está relacionado con el nombre de archivo original de la carga útil descargada. Si Grandoreiro no se ejecuta en un proceso elevado, se omite el verbo “/runas”.
Además del archivo .CFG, Grandoreiro también crea un archivo .XML en el directorio C:\Public\. Está cifrado mediante la rutina de cifrado de cadenas del cargador y almacena el nombre del archivo ejecutable Grandoreiro, la ruta y la fecha de infección.
Si Grandoreiro no puede encontrar su archivo .CFG, rellenará un nuevo .CFG con valores predeterminados que especifican qué funciones de Grandoreiro están habilitadas, el país de la víctima y la fecha de infección. El archivo .CFG se cifra vía el algoritmo de cifrado de cadenas Grandoreiro explicado más adelante.
Los operadores de Grandoreiro han ampliado considerablemente la lista de aplicaciones bancarias a las que se dirigen, que ahora cuenta con más de 1500 bancos en todo el mundo. Las últimas variantes comienzan por determinar primero si la víctima se encuentra en la lista de países objetivo. Cada país también se asigna a una región más grande, que Grandoreiro utiliza para determinar qué búsquedas de cadenas debe ejecutar en las ventanas activas actualmente. Esto significa que, si el país víctima, por ejemplo, se identifica como Bélgica, buscará todas las aplicaciones bancarias específicas asociadas a la región de Europa. Grandoreiro mapea internamente países a las categorías de regiones de Europa, América del Norte, Centroamérica, Sudamérica, África, Indo-Pacífico e islas globales, con cada región con una clase Delphi asociada para buscar aplicaciones bancarias. Además, Grandoreiro tiene una clase que busca 266 cadenas únicas que identifican carteras de criptomonedas, que se ejecuta en cada infección.
Fig 11: Grandoreiro lanzando un nuevo hilo basado en la región del país detectada
El mapa de calor que aparece a continuación destaca el número de aplicaciones bancarias únicas asociadas a cada país. Tenga en cuenta que cada aplicación puede detectarse con múltiples cadenas:
Fig. 12: Aplicaciones bancarias específicas de Grandoreiro por país (creadas con Datawrapper y rellenadas con información de la investigación del equipo de X-Force)
Grandoreiro se ha basado tradicionalmente en algoritmos de generación de dominios (DGA) para calcular su servidor C2 activo en función de la fecha actual. La iteración más reciente de Grandoreiro contiene un algoritmo reelaborado y lo lleva un paso más allá al introducir múltiples semillas para su DGA. Estas semillas se utilizan para calcular un dominio diferente para cada modo o funcionalidad del troyano bancario, lo que permite la separación de tareas C2 entre varios operadores como parte de su operación de malware como servicio. Cada muestra de Grandoreiro puede tener una semilla principal por defecto en caso de que falte el archivo de configuración, así como una lista de semillas específicas de la función. La muestra analizada por X-Force contenía 14 semillas diferentes, lo que daba lugar a 14 dominios C2 posibles cada día. Para explicar el algoritmo, calcularemos los dominios para el 17 de abril de 2024. El siguiente gráfico muestra una visualización del algoritmo con la siguiente explicación:
Fig. 13: Visualización DGA
Comenzando por el vértice del dominio, Grandoreiro tiene un dominio asignado a cada día del año. Hay dos de estas asignaciones, una para el C2 principal y otra para todos los C2 específicos de la función. Sin embargo, de los 732 dominios de Apex, solo 337 son únicos. Para el día dado, el ápice principal es dnsfor[.]me y el secundario es neat-url[.]com.
Para la siguiente parte, Grandoreiro concatena la semilla "xretsmzrb" (la semilla principal) con el mes actual formateado de 2 dígitos, reemplazando cada dígito con tres caracteres codificados. Los dígitos "0" y "4" se sustituyen por "oit" y "zia" respectivamente, lo que da como resultado la cadena completa "xretsmzrboitzia".
Por último, para cada día del mes, Grandoreiro tiene un mapa personalizado de sustitución de carácter por personaje. Para el día 17, después de ejecutar iterativamente los 26 reemplazos de caracteres, la cadena de subdominio final es "wondbbhonandhnd".
Tras calcular los dominios restantes para todas las semillas hardcoded, la lista de dominios C2 para el 17 de abril de 2024 pasa a ser:
X-Force pudo confirmar que al menos 4 de los dominios se resolvieron ese día a IP con sede en Brasil:
El puerto del servidor C2 se calcula a partir de los primeros cuatro dígitos de la dirección IP a través de una asignación personalizada de dígito a dígito, al igual que el cargador Grandoreiro. Consulte el apéndice para obtener una lista completa de todos los dominios precalculados de Grandoreiro. Tenga en cuenta que Grandoreiro cambia las semillas con frecuencia. Unas semanas después de la infección inicial, X-Force observó que solo el servidor semilla C2 principal permanecía activo.
Una investigación sobre la telemetría DNS de X-Force de principios de mayo muestra que las infecciones actuales se encuentran principalmente en América Latina:
Fig. 14: Geolocalizaciones de infecciones a principios de mayo
Después de intentar resolver el DGA calculado, Grandoreiro envía uno de varios mensajes de registro concatenados con datos de enumeración y cifrados, al igual que el cargador Grandoreiro. Los siguientes mensajes pueden enviarse en función de los privilegios, los AV instalados y los dominios C2 activos:
Grandoreiro admite una gran cantidad de comandos diferentes, incluidos los siguientes:
El malware también soporta específicamente la apertura de URLs codificadas de Banco Banorte:
Además, permite la ejecución de comandos JavaScript en el navegador para simular clics en botones HTML:
javascript:document.getElementById(‘ctl00_Contentplaceholder1_lbNuevaCuenta’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_btnAceptar’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_btnContinuar’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_Button17’).click();
Debido al gran número de comandos diferentes y a su nombre, la base de código de Grandoreiro parece contener comandos añadidos recientes así como características heredadas que ya no se usan activamente. El troyano bancario probablemente está pasando por ciclos de desarrollo frecuentes para añadir nuevas características sin mucha refactorización, lo que contribuye al tamaño total de la base de código.
Una de las características más interesantes de Grandoreiro es su capacidad para propagarse recopilando datos de Outlook y utilizando la cuenta de la víctima para enviar correos electrónicos de spam. Hay al menos 3 mecanismos implementados en Grandoreiro para recolectar y exfiltrar direcciones de correo electrónico, y cada uno utiliza una semilla DGA diferente. Al usar el cliente local de Outlook para spam, Grandoreiro puede propagarse por las bandejas de entrada de víctimas infectadas por correo electrónico, lo que probablemente contribuye al gran volumen de spam observado desde Grandoreiro.
Para el modo de recolección de Outlook, Grandoreiro cambia su C2 a la semilla DGA 7, que se usa para exfiltrar datos. La información de registro y los mensajes de estado continúan hacia el servidor C2 principal. Por ejemplo, antes de iniciar el proceso de recolección, envía un registro que contiene los mismos datos de perfilado de la víctima, así como las cadenas "CLIENT_SOLICITA_DD_EMSOUT" (el cliente solicita datos de EMSOUT) y "COLHENDO" (recolectando).
Para interactuar con el cliente local de Outlook, Grandoreiro utiliza la herramienta Outlook Security Manager, un software utilizado para desarrollar complementos de Outlook. La razón principal detrás de esto es que Outlook Object Model Guard activa alertas de seguridad si detecta acceso a objetos protegidos. Outlook Security Manager permite a Grandoreiro deshabilitar estas alertas durante el comportamiento de recolección y envío de spam. Dependiendo de la arquitectura del sistema, la herramienta requiere la DLL “secman.dll” o “secman64.dll” para registrarse como servidores COM. A continuación, utiliza MAPI para interactuar con Outlook.
El malware comienza localizando la carpeta raíz del buzón y luego itera recursivamente por los elementos del correo electrónico. Para cada correo electrónico, comprueba la propiedad "SenderEmailAddress" y ejecuta una lista de bloqueo contra ella, para filtrar las direcciones de correo electrónico no deseadas para su recolección:
Las direcciones de correo electrónico que no contienen ninguna de las cadenas anteriores se agregan en un archivo de texto, se comprimen en ZIP y se exfiltran.
Además del proceso de cosecha anterior, Grandoreiro también permite añadir primero un archivo PST a Outlook mediante la función Namespace.AddStore(). Otro mecanismo de recolección admitido recorre recursivamente el sistema de archivos de la víctima y escanea los archivos en busca de direcciones de correo electrónico. Se abren y escanean archivos con las siguientes extensiones:
“*.txt”, “*.csv”, “*.html”, “*.xml”, “*.dat”, “*.db”, “*.sqlite”, “*.xlsx”, “*.xls”, “*.xlsm”, “*.dbf”, “*.doc”, “*.docx”, “*.docm”
Para evitar escaneos innecesarios, Grandoreiro mantiene otra lista bloqueada de rutas que no debe escanear, excluyendo los directorios comunes del sistema.
Para enviar correos electrónicos no deseados, Grandoreiro utiliza plantillas de phishing que recibe de su servidor C2. A continuación, revisa la plantilla y rellena campos de marcador de posición, como:
Justo antes de comenzar a enviar correos electrónicos, Grandoreiro inicia un hilo para detectar cualquier cuadro de diálogo que aparezca y hacer clic en él presionando específicamente las teclas TAB y BARRA ESPACIADORA. Después de enviar los correos electrónicos, el malware cubre cuidadosamente sus huellas eliminando los mensajes enviados del buzón de la víctima. Además, para muchos de los comportamientos de recolección y envío de spam, Grandoreiro se asegura de que la última entrada en la máquina infectada sea de hace al menos 5 minutos (o en algunos casos más). Es probable que los desarrolladores quisieran asegurarse de que las víctimas no notaran ningún comportamiento sospechoso.
Durante el envío de spam, Grandoreiro informa de los siguientes mensajes de estado:
Dado que Grandoreiro es un malware tan grande, requiere una cantidad enorme de cadenas, lo que facilitaría mucho la detección si se dejaran sin cifrar. Grandoreiro cuenta con más de 10 000 cadenas dispersas entre más de cien funciones de carga de cadenas específicas de característica. El mecanismo de descifrado difiere ligeramente del descifrado de cadenas del cargador:
Utiliza la misma clave Grandoreiro que el cargador, que descifra a través de su cifrado y la clave "A". Una vez que tiene la clave, decodifica de forma personalizada la cadena cifrada utilizando la misma codificación que el cargador y luego descifra los bytes resultantes a través del modo AES ECB usando la implementación ElAES Pascal. La clave AES es una versión codificada de la clave Grandoreiro previamente descifrada. Tras otra ronda de decodificación personalizada, la cadena se descifra finalmente mediante el antiguo algoritmo Grandoreiro y la clave Grandoreiro.
Fig. 15: Descifrado de cadenas de troyanos bancarios Grandoreiro
X-Force observó varias campañas recientes de phishing en las que se hacían pasar por entidades de gobierno oficiales para entregar el troyano bancario Grandoreiro. Los distribuidores de Grandoreiro suelen dirigirse a usuarios de América Latina; sin embargo, desde la última acción policial contra los operadores de Grandoreiro, X-Force ha observado que el malware se propaga fuera de LATAM para incluir regiones de América Central y del Sur, África, Europa y el Pacífico. Las muestras de troyanos bancarios Grandoreiro que X-Force ha analizado han sufrido actualizaciones importantes en los algoritmos de descifrado de cadenas y cálculo de DGA. Estas muestras recién analizadas ahora incluyen un gran número de al menos 1500 aplicaciones bancarias globales para atacar, que apoyan la ejecución y permiten a los atacantes realizar fraudes bancarios en más de 60 países. Las actualizaciones realizadas al malware, además del aumento significativo de las aplicaciones bancarias en varios países, indican que los distribuidores de Grandoreiro buscan realizar campañas y distribuir malware a escala global.
Animamos a las organizaciones que puedan verse afectadas por estas campañas a revisar las siguientes recomendaciones:
Indicador
Tipo de indicador
Contexto
root@yhsp<two digit number>.rufnag.com
Dirección de correo electrónico
Remitente de correo electrónico
hxxps[:]//pjohconstruccionescpaz[.]com/?8205-23069071&tokenValue=
92b768ccface4e96cee662517800b208f88ff796
URL
Enlace de descarga del archivo malicioso
97f3c0beef87b993be321b5af3bf748cc8e003e
6e90cf5febf69dfd81e85f581
SHA256
Archivo ZIP
afd53240a591daf50f556ca952278cf098dbc5
b6c2b16c3e46ab5a0b167afb40
SHA256
Archivo ZIP
f8f2c7020b2d38c806b5911acb373578cbd69
612cbe7f21f172550f4b5d02fdb
SHA256
Componente del cargador Grandoreiro
10b498562aef754156e2b540754bf1ccf9a9cb
62c732bf9b661746dd08c67bd1
SHA256
Componente del cargador Grandoreiro
aviso.<four digit number>@cfe.mx
Dirección de correo electrónico
Remitente de correo electrónico
hxxps[:]//hilcfacdigitaelpichipt[.]norwayeast[.]cloudapp
.azure[.]com/?docs/pdf/15540f02-d006-4e3b-b2de-6873baff3b2a
URL
Enlace de descarga del archivo malicioso
55426bb348977496189cc6a61b711a3aadde
155772a650ef17fba1f653431965
SHA256
Archivo ZIP
arq_@other.com.<four digit number>
Dirección de correo electrónico
Remitente de correo electrónico
root@<6 alpha-numeric value>.rufnag.com
Dirección de correo electrónico
Remitente de correo electrónico
bfcd71a4095c2e81e2681aaf0239436368bc2
ebddae7fdc8bb486ffc1040602c
SHA256
Archivo ZIP
3f920619470488b8c1fda4bb82803f72205
b18b1ea31402b461a0b8fe737d6bd
SHA256
Componente del cargador Grandoreiro
84572c0de71bce332eb9fa03fd34243326
3ad0c4f95dd3acd86d1207fa7d23f0
SHA256
Grandoreiro
hxxps[:]//pjohconstruccionescpaz[.]com?docs/xml
/WCA161006TN9/15540f02-d006-4e3b-b2de-6873baff3b2a
URL
Enlace de descarga del archivo malicioso
29f19d9cd8fe38081a2fde66fb2e1eff33c
4d4b5714ef5cada5cc76ec09bf2fa
SHA256
Archivo ZIP
hxxps[:]//onwfacttasunslahf[.]norwayeast[.]cloudapp
[.]azure[.]com?_task=mail&_action=get&_mbox=
INBOX&_uid=19101&_token=
rbrJMXNUOQvrlaWOOxGAyj7vcufaFN3r&_part
=1.2.3&_embed=1&_mimeclass=image
URL
Enlace de descarga del archivo malicioso
2ab8c3a1a7fe14a49084fbf42bbdd04d63
79e6ae2c74d801616e2b9cf8c8519c
SHA256
Componente del cargador Grandoreiro
hxxps[:]//servicerevenueza[.]southeastasi
a[.]cloudapp.azure[.]com/?PDF-XML-71348793
URL
Enlace de descarga del archivo malicioso
root[@]zpmbnoxf[.]crazydocuments[.]com
Dirección de correo electrónico
Remitente de correo electrónico
d005abe0a29b53c5995a10ce540cc2ff
be96e7f80bf43206d4db7921b6d6aa10
SHA256
Componente del cargador Grandoreiro
70f22917ec1fa3a764e21f16d68af80b69
7fb9d0eb4f9cd6537393b622906908
SHA256
Componente del cargador Grandoreiro
fb3d843d35c66f76b1b1b88260ad2009
6e118ef44fd94137dbe394f53c1b8a46
SHA256
Componente del cargador Grandoreiro
6772d2425b5a169aca824de3ff2aac400
fa64c3edd93faaabd17d9c721d996c1
SHA256
Componente del cargador Grandoreiro
gruposat@gob.mx
Dirección de correo electrónico
Remitente de correo electrónico
marcasat@gob.mx
Dirección de correo electrónico
Remitente de correo electrónico
assistance@gov.za
Dirección de correo electrónico
Remitente de correo electrónico
hxxps[:]//officebusinessaccount[.]eastus[.]cloudapp
[.]azure[.]com/?PDF-XML-<eight digit number>
URL
Enlace de descarga del archivo malicioso
hxxps[:]//servicerevenueza[.]southeastasia[.]
cloudapp[.]azure[.]com/?PDF-XML-<eight digit number>
URL
Enlace de descarga del archivo malicioso
18.231.181[.]227
IPv4
Servidor C2 Grandoreiro
18.231.158[.]159
IPv4
Servidor C2 Grandoreiro
15.229.211[.]175
IPv4
Servidor C2 Grandoreiro
15.228.245[.]103