Fin mars 2025, IBM X-Force a dirigé une intervention face à un incident impliquant Hive0148, un groupe de cybercriminels sud-américain spécialisé dans le vol financier dans toute la région. Cet incident fait partie d’une série de campagnes de grande envergure qui se sont déroulées entre le 19 février et le 20 mars 2025 et qui ont permis de diffuser le cheval de Troie bancaire Grandoreiro auprès d’utilisateurs au Mexique et au Costa Rica. Les victimes ont reçu deux e-mails d’hameçonnage, dont l’un dirigeait vers une archive ZIP hébergée sur le service de partage de fichiers mediafire[.]com. Si, en cliquant sur l’URL fournie, la victime était géolocalisée au Mexique ou au Costa Rica, elle était rapidement redirigée vers une URL contaboserver[.]net pour télécharger le fichier ZIP. L’archive contient un script Visual Basic (VBS) malveillant qui, une fois exécuté, lance un fichier exécutable avec un nom attribué aléatoirement. Les exécutables n’étaient pas récupérables à partir du système infecté. Cependant, l’équipe anti-malware X-Force a analysé le VBS malveillant pour récupérer l’exécutable, qui s’est avéré être un chargeur Grandoreiro.

X-Force suit les distributeurs qui fournissent le cheval de Troie bancaire Grandoreiro, connus pour cibler des entités au Mexique et au Brésil, bien que des cibles aient été observées en Espagne, en Colombie et au Costa Rica. Grandoreiro est un cheval de Troie bancaire à plusieurs composants, probablement géré comme un logiciel malveillant à la demande (MaaS). Il possède des fonctionnalités telles que le déchiffrement des chaînes, un algorithme de génération de domaine (DGA), ainsi que la possibilité d’utiliser les clients Microsoft Outlook sur des hôtes infectés pour diffuser d’autres e-mails d’hameçonnage. Grandoreiro contient une longue liste codée en dur d’applications bancaires ciblées qu’il utilise pour recenser les appareils des victimes, voler des identifiants et commettre des fraudes.

X-Force surveille au moins trois distributeurs déployant différentes versions du cheval de Troie bancaire Grandoreiro, dont deux identifiés comme Hive0148 et Hive0149, et un troisième en cours de développement. Les distributeurs de Grandoreiro sont regroupés en fonction de certaines tactiques, techniques et procédures (TTP) telles que les attributs de la chaîne d’infection, y compris l’utilisation de différents chargeurs et de techniques de commande et de contrôle (C2), les thèmes d’hameçonnage, les cibles et les indicateurs de compromission (IOC). Les campagnes d’hameçonnage diffusées par Grandoreiro incluent souvent des thèmes liés aux services d’administration fiscale, à la Commission fédérale d’électricité (CFE), à la facturation électronique, aux banques nationales et aux tribunaux fédéraux/notifications de justice.