Fin mars 2025, IBM X-Force a dirigé une intervention face à un incident impliquant Hive0148, un groupe de cybercriminels sud-américain spécialisé dans le vol financier dans toute la région. Cet incident fait partie d’une série de campagnes de grande envergure qui se sont déroulées entre le 19 février et le 20 mars 2025 et qui ont permis de diffuser le cheval de Troie bancaire Grandoreiro auprès d’utilisateurs au Mexique et au Costa Rica. Les victimes ont reçu deux e-mails d’hameçonnage, dont l’un dirigeait vers une archive ZIP hébergée sur le service de partage de fichiers mediafire[.]com. Si, en cliquant sur l’URL fournie, la victime était géolocalisée au Mexique ou au Costa Rica, elle était rapidement redirigée vers une URL contaboserver[.]net pour télécharger le fichier ZIP. L’archive contient un script Visual Basic (VBS) malveillant qui, une fois exécuté, lance un fichier exécutable avec un nom attribué aléatoirement. Les exécutables n’étaient pas récupérables à partir du système infecté. Cependant, l’équipe anti-malware X-Force a analysé le VBS malveillant pour récupérer l’exécutable, qui s’est avéré être un chargeur Grandoreiro.
X-Force suit les distributeurs qui fournissent le cheval de Troie bancaire Grandoreiro, connus pour cibler des entités au Mexique et au Brésil, bien que des cibles aient été observées en Espagne, en Colombie et au Costa Rica. Grandoreiro est un cheval de Troie bancaire à plusieurs composants, probablement géré comme un logiciel malveillant à la demande (MaaS). Il possède des fonctionnalités telles que le déchiffrement des chaînes, un algorithme de génération de domaine (DGA), ainsi que la possibilité d’utiliser les clients Microsoft Outlook sur des hôtes infectés pour diffuser d’autres e-mails d’hameçonnage. Grandoreiro contient une longue liste codée en dur d’applications bancaires ciblées qu’il utilise pour recenser les appareils des victimes, voler des identifiants et commettre des fraudes.
X-Force surveille au moins trois distributeurs déployant différentes versions du cheval de Troie bancaire Grandoreiro, dont deux identifiés comme Hive0148 et Hive0149, et un troisième en cours de développement. Les distributeurs de Grandoreiro sont regroupés en fonction de certaines tactiques, techniques et procédures (TTP) telles que les attributs de la chaîne d’infection, y compris l’utilisation de différents chargeurs et de techniques de commande et de contrôle (C2), les thèmes d’hameçonnage, les cibles et les indicateurs de compromission (IOC). Les campagnes d’hameçonnage diffusées par Grandoreiro incluent souvent des thèmes liés aux services d’administration fiscale, à la Commission fédérale d’électricité (CFE), à la facturation électronique, aux banques nationales et aux tribunaux fédéraux/notifications de justice.
Hameçonnage, logiciels malveillants
X-Force a observé plusieurs grandes campagnes Hive0148 diffusant le cheval de Troie bancaire Grandoreiro auprès d’utilisateurs au Mexique et au Costa Rica entre le 19 février et le 20 mars 2025. Ces e-mails usurpent l’identité de plusieurs agences publiques, notamment le Service d’administration fiscale du Mexique (SAT), en prétendant provenir du Secrétariat des finances et du crédit public. Hive0148 envoie souvent des e-mails sur des thèmes liés au SAT ou à la Commission fédérale d’électricité (CFE), ou encore des sujets financiers tels que la facturation.
Adresses e-mail utilisées par Hive0148 :
Le corps de l’e-mail de certaines campagnes observées informe le destinataire qu’un acte administratif identifié par le numéro folio [varie selon l’e-mail] a été envoyé et peut être consulté dans sa boîte de réception fiscale à l’adresse sat[.]gob[.]mx. Sans doute pour des raisons d’authenticité, l’expéditeur de l’e-mail inclut la mention suivante : « Le SAT ne demande jamais d’informations personnelles, de codes ni de mots de passe par e-mail. Si vous recevez un message suspect, veillez à ne pas le partager et à le signaler sur notre portail. Vos données personnelles sont protégées conformément aux directives de protection des données personnelles et aux réglementations fiscales en vigueur. Elles sont utilisées exclusivement dans le cadre de l’exercice des compétences de l’administration fiscale. » D’autres e-mails prétendent provenir de l’Administration fédérale des revenus publics de l’Argentine, indiquant que de nouveaux documents fiscaux ont été générés et que des amendes ont été appliquées.
Exemples d’objets d’e-mail observés :
Dans toutes les campagnes, un lien pour consulter l’acte administratif (par exemple) ou tout autre document pertinent est fourni dans le corps de l’e-mail accompagné du mot de passe « 2025 ». Après que la victime a cliqué sur le lien intégré, un navigateur s’ouvre pour afficher un lien vers « Documento archivo PDF ». L’URL, qui est une variante de hxxps[:]//vmi2500223[.]contaboserver[.]net/, mène au téléchargement d’une archive ZIP après vérification de la géolocalisation au Mexique ou au Costa Rica, selon l’e-mail. Si l’utilisateur ne se trouve ni au Mexique ni au Costa Rica, il n’est pas redirigé, et un message d’erreur de délai d’attente s’affiche.
Les fichiers d’archive contiennent un script Virtual Basic (VBS) malveillant masqué. L’un des VBS analysés par X-Force, VER_4138SZOLMCTOhhadOBDO.vbs, fonctionne comme un dropper qui décode en base64 et dépose une archive ZIP intégrée sur le système sous la forme suivante : %AppData%\<12-char-random-name>.zip (exemple : EJHAnQiepmGQ.zip). L'archive ZIP contient un fichier XML (Extensible Markup Language) 823213123422HFPZNBLD79004462AEMGNZNC.xml qui est décompressé par le dropper, renommé %AppData%\<12-char-random-name>.exe (exemple : EJHAnQiepmGQ.exe) et exécuté. Le dropper crée également un fichier texte nommé %AppData%\tYcEsgSvozkyMJsMKC.txt qui contient le chemin de la charge utile finale.
Cette variante de chargeur fonctionne de la même manière que les autres chargeurs Grandoreiro décrits en 2024 par IBM X-Force. Lorsque EJHAnQiepmGQ.exe est exécuté, il crée un mutex basé sur la date actuelle, formatée en M/JJ/AAAA , puis affiche une fausse boîte de dialogue PDF auprès de l’utilisateur. En cas d’erreur, une deuxième fausse boîte de dialogue d’erreur Adobe Reader s’affiche avant que l’exécution ne se termine. Une fois que l’utilisateur a cliqué sur la boîte de dialogue, le chargeur effectue plusieurs vérifications anti-analyse pour exécuter les processus de l’outil d’analyse, les clés de registre, les fichiers de lien Microsoft sur le bureau de l’utilisateur et certains répertoires.
Si le système passe les contrôles, le chargeur recueille des informations système telles que le nom d’utilisateur, le logiciel antivirus, le nom de l’hôte, le numéro de série du volume et les informations IP publiques du pays à envoyer au serveur C2. Les informations IP publiques sont obtenues à partir de http://ip-api.com/json.
Une fois les informations système obtenues, le domaine C2 est déchiffré à partir des chaînes. L’adresse IP du domaine est résolue via DNS sur HTTPS via l’URL https://dns.google/resolve?name=<C2Server> pour contourner le blocage DNS. Pour l’échantillon analysé, le C2 est crispandpotato[.]workisboring[.]com. Les informations système sont ensuite envoyées au C2 et, généralement, le cheval de Troie bancaire Grandoreiro est téléchargé.
X-Force a observé une récente campagne d’hameçonnage usurpant l’identité d’agences nationales pour diffuser le cheval de Troie bancaire Grandoreiro. Si les distributeurs de Grandoreiro ciblent généralement les utilisateurs d’Amérique latine, X-Force a observé que le logiciel malveillant se propageait en dehors de la région LATAM, à savoir en Amérique centrale et du Sud, en Afrique, en Europe et dans le Pacifique. Le cheval de Troie bancaire Grandoreiro cible au moins 1 500 applications bancaires qui facilitent l’exécution et permettent aux attaquants de commettre des fraudes bancaires dans plus de 60 pays. Les campagnes de diffusion de Grandoreiro se distinguent par l’impact potentiel élevé des activités de suivi associées aux chevaux de Troie bancaires. Ces campagnes entraînant des infections ont permis aux acteurs Grandoreiro de s’emparer de données utilisateur telles que les identifiants de connexion bancaire, et les victimes se sont vu soutirer au moins 3,5 millions d’euros depuis 2017, voire avant.
Nous encourageons les entreprises susceptibles d’être impactées par ces campagnes à examiner les recommandations suivantes :
Indicateur
Type d'indicateur
Contexte
hxxps[:]//vmi(7digits)[.]contaboserver[.]net/
URL
Redirection URL avec géorepérage
5.189.171.211
Adresse IPV4
Résolution de l’URL de Contaboserver
207.180.209.104
Adresse IPV4
Résolution de l’URL de Contaboserver
5.189.180.157
Adresse IPV4
Résolution de l’URL de Contaboserver
207.180.227.44
Adresse IPV4
Résolution de l’URL de Contaboserver
173.212.198.11
Adresse IPV4
Résolution de l’URL de Contaboserver
173.212.248.93
Adresse IPV4
Résolution de l’URL de Contaboserver
62.17.169.232
Adresse IPV4
Résolution de l’URL de Contaboserver
crispandpotato[.]workisboring[.]com
FQDN
C2
