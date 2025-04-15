A finales de marzo de 2025, IBM® X-Force lideró un caso de respuesta a incidentes relacionado con Hive0148, un grupo sudamericano de cibercrímenes centrados en el robo financiero en toda la región. Este incidente formó parte de una serie de grandes campañas que tuvieron lugar entre el 19 de febrero y el 20 de marzo de 2025, en las que se distribuyó el troyano bancario Grandoreiro a usuarios de México y Costa Rica. El incidente consistió en que una víctima recibió dos correos electrónicos de phishing, uno de los cuales conducía a un archivo ZIP alojado en el servicio de intercambio de archivos mediafire[.]com. Si, al hacer clic en la URL proporcionada, la geolocalización de la víctima se establece para México o Costa Rica, se le redirige rápidamente a un contaboserver[.]net URL para descargar el archivo ZIP. El archivo contiene un Visual Basic Script (VBS) malicioso que, al ejecutarse, lanza un archivo ejecutable con un nombre asignado aleatoriamente. Los propios ejecutables no se pudieron recuperar del sistema infectado. Sin embargo, el equipo de malware de X-Force analizó el VBS malicioso para recuperar el ejecutable, que resultó ser un Grandoreiro Loader.
X-Force rastrea a los distribuidores que entregan el troyano bancario Grandoreiro, que se sabe que atacan a entidades de México y Brasil, aunque se han observado objetivos en España, Colombia y Costa Rica. Grandoreiro es un troyano bancario multicomponente que probablemente opera como Malware como servicio (MaaS), con características como descifrado de cadenas, algoritmo de generación de dominios (DGA), así como la capacidad de utilizar clientes de Microsoft Outlook en hosts infectados para difundir más correos electrónicos de phishing. Grandoreiro contiene una gran lista codificada de aplicaciones bancarias específicas que utiliza para enumerar los dispositivos de las víctimas, robar credenciales y cometer fraudes.
X-Force rastrea al menos tres distribuidores que implementan diferentes versiones del troyano bancario Grandoreiro, dos identificados como Hive0148 y Hive0149, y un tercero en desarrollo. Los distribuidores de Grandoreiro se agrupan en función de ciertas tácticas, técnicas y procedimientos (TTP), como los atributos de la cadena de infección, incluido el uso de diferentes cargadores y técnicas de comando y control (C2), temas de phishing, objetivos e indicadores de compromiso (IOC). Las campañas de phishing que distribuyen Grandoreiro suelen contener temas relacionados con los Servicios de Administración Tributaria, la Comisión Federal de Electricidad (CFE), la facturación electrónica, los bancos nacionales y los tribunales federales/notificaciones legales.
X-Force observó varias grandes campañas Hive0148 que entregaban el troyano bancario Grandoreiro a usuarios de México y Costa Rica entre el 19 de febrero y el 20 de marzo de 2025. Los correos electrónicos engañan a varias organizaciones gubernamentales, incluido el Servicio de Administración Tributaria (SAT) de México, con correos electrónicos que dicen provenir de la Secretaría de Hacienda y Crédito Público. Hive0148 suele enviar correos electrónicos con temas relacionados con el SAT o la Comisión Federal de Electricidad (CFE), o relacionados con finanzas, como la facturación.
Direcciones de correo electrónico de remitentes observadas utilizadas por Hive0148:
El cuerpo de los correos electrónicos de algunas campañas observadas informa al destinatario de que se ha enviado un acto administrativo identificado con el número de folio: [varía según el correo electrónico], y que está disponible para su revisión en su Bandeja de entrada fiscal en sat[.]gob[.]mx. Como prueba de autenticidad, el remitente del correo electrónico incluye la siguiente declaración: "SAT no solicita información personal, códigos o contraseñas por correo electrónico. Si recibe un mensaje sospechoso, no lo comparta y denúncielo a través de nuestro portal. Sus datos personales están protegidos de acuerdo con las Directrices de Protección de Datos Personales y la normativa fiscal vigente. Se utiliza exclusivamente para ejercer las competencias de la Autoridad Tributaria". El contexto adicional del correo electrónico parece provenir de la Administración Federal de Ingresos Públicos de Argentina, en el que se afirma que se han generado nuevos documentos fiscales y se han incurrido en multas.
Ejemplo de temas de correo electrónico observados:
En todas las campañas, se proporciona un enlace para ver el acto administrativo (por ejemplo) u otro documento relevante en el cuerpo del correo electrónico junto con la contraseña "2025". Después de que una víctima haya hecho clic en el enlace incrustado, se abre un navegador para revelar un enlace a "Documento archivo PDF". La URL, que es una variación de hxxps[:]//vmi2500223[.]contaboserver[.]net/, conduce a la descarga de un archivo ZIP después de una verificación de geolocalización para México o Costa Rica, según el correo electrónico. Si el usuario no está dentro de México o Costa Rica, no será redirigido y aparecerá un error de tiempo de espera.
Los archivos comprimidos contienen un Virtual Basic Script (VBS) ofuscado malicioso. Un VBS analizado por X-Force, VER_4138SZOLMCTOhhadOBDO.vbs, funciona como un dropper que descodifica en base64 y suelta un archivo ZIP incrustado en el sistema como %AppData% \<12-char-random-name>.zip (ejemplo: EJHAnQiepmGQ.zip). El archivo ZIP contiene un archivo de lenguaje de marcado extensible (XML) 823213123422HFPZNBLD79004462AEMGNZNC.xml que el dropper descomprime, renombra como %AppData%\<12-char-random-name>.exe (ejemplo: EJHAnQiepmGQ.exe) y ejecuta. El dropper también crea un archivo de texto llamado %AppData%\tYcEsgSvozkyMJsMKC.txt que contiene la ruta de la carga útil final.
Esta variante de cargador funciona de manera similar a otros cargadores Grandoreiro, según detalló IBM X-Force en 2024. Cuando se ejecuta EJHAnQiepmGQ.exe, crea un mutex basado en la fecha actual, formateada como M/DD/AAAA, y a continuación muestra un falso cuadro de diálogo PDF al usuario. Si se produce algún error, se muestra un segundo cuadro de diálogo de error falso de Adobe Reader antes de que finalice la ejecución. Una vez que el usuario hace clic en el cuadro de diálogo, el cargador realiza varias comprobaciones antianálisis para ejecutar procesos de herramientas de análisis, claves de registro, archivos de enlace Microsoft en el escritorio del usuario y ciertos directorios.
Si el sistema pasa las comprobaciones, el cargador recopila información del sistema, como el nombre de usuario, el software antivirus, el nombre del host, el número de serie del volumen y la información pública del país de la IP, para enviarla al servidor C2. La información de la IP pública se obtiene de http://ip-api.com/json.
Una vez obtenida la información del sistema, el dominio C2 se descifra de las cadenas. La IP del dominio se resuelve mediante DNS sobre HTTPS a través de la URL https://dns.google/resolve?name=<C2Server> para eludir el bloqueo basado en DNS. Para la muestra analizada, el C2 es crispandpotato[.]workisboring[.]com. A continuación, la información del sistema se envía al C2 y, normalmente, se descarga el troyano bancario Grandoreiro.
X-Force observó una reciente campaña de phishing en la que se hizo pasar por entidades de gobierno oficiales para entregar el troyano bancario Grandoreiro. Los distribuidores de Grandoreiro suelen dirigirse a usuarios de América Latina; sin embargo, X-Force ha observado que el malware se propaga fuera de LATAM para incluir regiones de América Central y del Sur, África, Europa y el Pacífico. El troyano bancario Grandoreiro incluye al menos 1500 aplicaciones bancarias globales para atacar, que apoyan la ejecución y permiten a los atacantes realizar fraudes bancarios en más de 60 países. Las campañas de Grandoreiro destacan por la posible actividad de seguimiento de alto impacto asociada a los troyanos bancarios. Las campañas que resultan en infecciones han llevado a los operadores de Grandoreiro a capturar con éxito datos de los usuarios, como las credenciales de inicio de sesión de los bancos, y han resultado en víctimas que han sido defraudadas de al menos 3,5 millones de euros desde al menos 2017.
Animamos a las organizaciones que puedan verse afectadas por estas campañas a revisar las siguientes recomendaciones:
Indicador
Tipo de indicador
Contexto
hxxps[:]//vmi(7digits)[.]contaboserver[.]net/
URL
Redireccionamiento de URL con geolocalización
5.189.171.211
Dirección IPV4
Resolución de URL de Contaboserver
207.180.209.104
Dirección IPV4
Resolución de URL de Contaboserver
5.189.180.157
Dirección IPV4
Resolución de URL de Contaboserver
207.180.227.44
Dirección IPV4
Resolución de URL de Contaboserver
173.212.198.11
Dirección IPV4
Resolución de URL de Contaboserver
173.212.248.93
Dirección IPV4
Resolución de URL de Contaboserver
62.17.169.232
Dirección IPV4
Resolución de URL de Contaboserver
crispandpotato[.]workisboring[.]com
FQDN
C2
