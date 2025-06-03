Début mai 2025, IBM X-Force a observé que Hive0131 menait des campagnes d’e-mail ciblant les utilisateurs en Colombie avec des notifications électroniques de procédures pénales, prétendant provenir de la Justice colombienne. Hive0131 est un groupe financièrement motivé, probablement originaire d’Amérique du Sud, qui mène régulièrement des campagnes principalement en Amérique latine (LATAM) pour livrer un large éventail de charges utiles courantes. Les campagnes actuelles imitent la correspondance officielle et contiennent soit un lien intégré, soit un leurre PDF avec un lien intégré. Cliquer sur le lien déclenche la chaîne d’infection, exécutant en mémoire le cheval de Troie bancaire « DCRat ».
DCRat, exploité comme logiciel malveillant à la demande (MaaS), est apparu pour la première fois en 2018, peut-être avant. Il largement promu sur les forums russes de cybercriminalité et proposé sur abonnement au tarif de 7 dollars USD environ pour deux mois. La présence de DCRat est très importante, et sa popularité ne cessé de croître en Amérique latine depuis 2024, voire avant. Au cours de l’été 2024, X-Force a observé plusieurs campagnes ciblant fortement des entités en Colombie, toutes imitant une entreprise LATAM spécialisée dans les écosystèmes de documents électroniques au Mexique et en Colombie. Toutefois, compte tenu des différences dans la chaîne d’infection et la fourniture de DCRat, X-Force pense que les campagnes de 2024 et celles d’aujourd’hui ont été menées par des acteurs différents. Les campagnes observées en 2024 s’appuyaient fortement sur des fichiers RAR protégés par mot de passe contenant des NSIS pour exécuter un téléchargeur GuLoader, alors que les campagnes récentes reposent sur un chargeur .NET dissimulé que nous avons appelé VMDetectLoader.
DCRat s’accompagne de plug-in capables d’effectuer les tâches suivantes, bien que les acteurs de la menace puissent créer des plug-in personnalisés pour accomplir des tâches supplémentaires :
MaaS
Début mai 2025, X-Force a observé des campagnes d’e-mails de Hive0131 imitant le pouvoir judiciaire de Colombie (Rama Judicial de Colombia), prétendant provenir du circuit civil de Bogota, en Colombie, pour envoyer des notifications électroniques de procédures pénales. Les campagnes observées contiennent soit un appât PDF avec un lien vers une TinyURL, soit un lien intégré vers un emplacement Google Docs.
Aperçu de la chaîne d’infection - PDF avec TinyURL
Pour les e-mails contenant un appât PDF menant à une tinyurl, la victime est redirigée vers une archive ZIP nommée 1Juzgado 08 Civil Circuito de Bogotá Notificacion electronica Orden de Embargo.Uue. L’archive ZIP contient des fichiers inoffensifs, ainsi qu’un fichier JavaScript malveillant nommé 1Juzgado 08 Civil Circuito de Bogotá Notificacion electronica Orden de Embargo.js. Le fichier JavaScript télécharge une charge utile JavaScript à partir d’un site paste[.]ee. et l’exécute. Cette charge utile exécute ensuite une commande PowerShell qui télécharge un fichier JPG à partir de hxxps://archive[.]org/download/new_ABBAS/new_ABBAS.jpg avec un chargeur encodé en base64 ajouté à la fin du fichier. Une fois exécuté, le chargeur télécharge et exécute DCRat en mémoire.
Le chargeur porte le nom de VMDetectLoader en raison de sa capacité à déterminer s’il s’exécute dans un environnement de bac à sable. L’analyse indique que le chargeur est basé sur le projet open source https://github.com/robsonfelix/VMDetector.
Vue d’ensemble de la chaîne d’infection - Lien Google Docs intégré
Cette chaîne d’infection est déclenchée par des emails d’hameçonnage contenant un lien vers un téléchargement Google Docs d’une archive ZIP protégée par mot de passe et nommée CUI 158616000129-2025-10047_122011111777.zip, dont le mot de passe figure dans l’email et est 3004. L’archive contient un téléchargeur de fichiers batch, CUI 158616000129-2025-10047_122011111777.bat, qui télécharge et exécute un composant VBScript (VBS) dissmulé à partir de
La charge utile finale est ensuite téléchargée par VMDetectLoader via un paste[.]ee URL qui lui a été transmise par le script PowerShell.
VMDetectLoader est un chargeur .NET dissimulé (Microsoft.Win32.TaskScheduler.dll) qui se trouve sur VirusTotal à l’adresse https://www.virustotal.com/gui/file/0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7. L’analyse des métadonnées du chargeur indique que le code est basé sur le projet open-source https://github.com/robsonfelix/VMDetector.
Attributs d’assemblage :
Avant de charger la charge utile, le chargeur détecte les machines virtuelles, imprimant une liste d’attributs hôtes sur la console si une VM est détectée. Par exemple :
watsonx.data
VMDetectLoader est exécuté via sa
Argument
Description
$storeman
URL inversée de Pastee à partir de laquelle une charge utile codée en base64 est téléchargée.
MSBuild
Processus d’injection dans la cible
C: \Utilisateurs\Public\Téléchargements
Chemin utilisé pour créer une tâche planifiée :
C:\Utilisateurs\Public\Téléchargements\rhabdosteus.js
1
Indicateur signalant les contrôles de processus
bimétallisme
Nom de la tâche planifiée
Au cours de l’exécution, VMDetectLoader, XOR déchiffre les chaînes notables selon les besoins à partir de la ressource .NET « hIXS ».
Exemples de chaînes déchiffrées
Persistance
Si cette option est configurée, une tâche planifiée est créée pour exécuter la commande PowerShell suivante, qui télécharge et exécute une charge utile JavaScript :
Une autre tâche peut être créée, selon la configuration, pour exécuter la charge utile JavaScript à l’aide de la commande suivante :
Le chargeur peut également créer une clé d’exécution du registre pour exécuter la charge utile :
Injection de processus
VMDetectLoader a la capacité d’utiliser la technique d’injection appelée « process hollowing » pour charger une charge utile dans différentes instances de processus cibles. Par exemple, pour la campagne analysée, le processus cible est C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe (32-bit) ou C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe (64-bit). La fonction responsable de l’injection de processus est nommée HackForums.gigajew.x64.Load() pour les échantillons 64 bits, et dnlib.IO.Tools.Ande() pour les échantillons 32 bits.
Procédé d’injection process hollowing :
Si VMDetectLoader détermine qu’il s’exécute dans un environnement sûr, la charge utile finale est chargée grâce à la technique de process hollowing. Dans ce cas précis, la charge utile finale est DCRat avec les données de configuration suivantes.
X-Force suit plusieurs groupes de cybercriminels actifs en Amérique latine, qui mènent des campagnes par e-mail diffusant des MaaS dans le but de gagner de l’argent. Parmi les groupes suivis figurent Hive0148 et Hive0149, qui se concentrent sur la diffusion du cheval de Troie bancaire Grandoriero, Hive0153 qui diffuse les logiciels malveillants Adwind et SambaSpy, et Hive0131. Si Hive0131 se concentre généralement sur les opérations de diffusion de logiciels malveillants tels que QuasarRAT et NjRAT, X-Force a observé une recrudescence des campagnes impliquant DCRat. S’appuyant sur une observation constante des logiciels malveillants envoyés à des utilisateurs en Amérique latine, IBM X-Force estime que l’Amérique latine continuera d’être ciblée par des acteurs de la menace cherchant à déployer des chevaux de Troie bancaires par le biais de campagnes d’hameçonnage dans le but d’obtenir des identifiants et d’autres informations sensibles.
Les entités implantées en Amérique latine sont invitées à faire preuve de prudence face aux e-mails contenant des pièces jointes, des liens ou qui invitent à télécharger des fichiers. En outre, il est conseillé aux entités de prendre les mesures suivantes :
Indicateur
Type d’indicateur
Contexte
4ce1d456fa8831733ac01c4a2a32044b6581664d3
SHA256x
Fichier vecteur
6a632d8356f42694adb21c064aa9e8710b65addd
SHA256x
Archive ZIP
1603c606d62e7794da09c51ca7f321bb555044916
SHA256x
DCRat
ceb88c09069b5ddc8ca525b7f2e26c4852465bc0
SHA256x
JS
0df13fd42fb4a4374981474ea87895a3830eddcc7f3
SHA256x
Chargeur .NET dissimulé
db21cc64fb7a7ed9075c96600b7e7e7007a0df7cb8
SHA256x
Archive ZIP
3c95678d140825b56e04298ce6238ce22b34611d25
SHA256x
Script PS
7c3fbea63b7cdf013ef26831bb1850c80f4bfad0103328
SHA256x
Script PS
b16588e0e2c6a0c8ff080ded57abe8159008d040ae
SHA256x
Téléchargeur de scripts batch
hxxps://tinyurl[.]com/2ypy4jrz?id=5541213d-0ed8
URL
Lien PDF intégré
hxxp://paste[.]ee/d/bx699sF9/0
URL
URL de téléchargement de la charge utile
hxxps://docs[.]google[.]com/uc?export=download&id=1aJuQtm8YUqZv12E-atslt_GvBWZ
URL
Lien e-mail intégré
hxxp://paste[.]ee/d/jYHEqBJ3/0
URL
URL de téléchargement de la charge utile
hxxps://archive[.]org/download/new_ABBAS/new_
URL
URL de téléchargement JPG
hxxps://ia601205.us.archive[.]org/26/items/new_
URL
URL de téléchargement JPG
