Pada awal Mei 2025, IBM X-Force mengamati Hive0131 melakukan kampanye email yang menargetkan pengguna di Kolombia dengan pemberitahuan elektronik tentang proses pidana, yang konon berasal dari The Judiciary of Colombia. Hive0131 adalah kelompok bermotivasi finansial yang kemungkinan berasal dari Amerika Selatan yang secara rutin melakukan kampanye sebagian besar di Amerika Latin (LATAM) untuk mengirimkan beragam muatan komoditas. Kampanye saat ini meniru korespondensi resmi dan berisi tautan tertanam atau umpan PDF dengan tautan yang disematkan. Mengklik tautan yang disematkan akan Initiate® rantai infeksi untuk mengeksekusi trojan perbankan "DCrat" dalam memori.
DCRAT dioperasikan sebagai Malware-as-a-Service (MaaS), pertama kali muncul setidaknya pada tahun 2018, dan banyak diiklankan di forum kejahatan siber Rusia, dapat dibeli dengan harga sekitar USD 7 untuk langganan dua bulan. Kehadiran DCRAT tersebar luas dan telah menjadi makin populer di LATAM setidaknya sejak 2024. Selama musim panas 2024, X-Force mengamati beberapa kampanye yang banyak menargetkan entitas di Kolombia, semuanya meniru perusahaan LATAM yang mengkhususkan diri dalam ekosistem dokumen elektronik di Meksiko dan Kolombia. Namun, mengingat perbedaan dalam rantai infeksi dan pengiriman dCRAT, X-Force menilai bahwa kampanye 2024 dan saat ini dilakukan oleh aktor yang berbeda. Kampanye yang diamati pada tahun 2024 sangat bergantung pada file RAR yang dilindungi kata sandi yang berisi NSIS untuk menjalankan pengunduh GuLoader, sedangkan kampanye baru-baru ini bergantung pada pemuat.NET yang kabur yang kami beri nama VMDetectLoader.
DCRAT dilengkapi dengan plugin yang mampu melakukan tugas-tugas berikut, meskipun aktor ancaman dapat membuat plugin khusus untuk menyelesaikan tugas tambahan:
MaaS
Pada awal Mei 2025, X-Force mengamati kampanye email Hive0131 yang meniru Kehakiman Kolombia (Rama Judicial de Colombia), mengaku berasal dari Sirkuit Sipil Bogota, Kolombia, untuk mengirimkan pemberitahuan elektronik tentang proses pidana. Kampanye yang diamati berisi umpan PDF dengan tautan ke TinyURL atau berisi tautan yang disematkan ke lokasi Google Docs.
Ikhtisar RanTAI Infeksi - PDF dengan TinyURL
Untuk email yang berisi umpan PDF yang mengarah ke tinyurl, korban diarahkan ke arsip ZIP bernama 1Juzgado 08 Civil Circuito de Bogotá Notificacion electronica Orden de Embargo.Uue. Arsip ZIP berisi file jinak serta file JavaScript berbahaya bernama 1Juzgado 08 Civil Circuito de Bogotá Notificacion electronica Orden de Embargo.js. File JavaScript mengunduh muatan JavaScript dari situs paste[.]ee dan menjalankannya. Payload ini kemudian mengeksekusi perintah PowerShell yang mengunduh JPG dari hxxps: //archive [.] org/download/new_ABBAS/new_ABBAS.jpg dengan pemuat berkode base64 ditambahkan ke akhir file. Setelah dieksekusi, pemuat mengunduh dan mengeksekusi DCrat dalam memori.
Loader diberi nama VMDetectLoader karena kemampuannya untuk menentukan apakah dapat berjalan di lingkungan sandbox. Analisis menunjukkan bahwa pemuat didasarkan pada proyek sumber terbuka https://github.com/robsonfelix/VMDetector.
Ikhtisar rantai infeksi - Tautan Google Docs Tertanam
Rantai infeksi ini dimulai dengan email phishing yang berisi tautan ke unduhan Google Docs dari arsip ZIP yang dilindungi kata sandi bernama CUI 158616000129-2025-10047_122011111777.zip, kata sandinya ada di email dan adalah 3004. Arsip berisi pengunduh file batch, CUI 158616000129-2025-10047_122011111777.bat, yang mengunduh dan mengeksekusi komponen VBScript (VBS) yang dikaburkan
Muatan akhir kemudian diunduh oleh VMDetectLoader melalui paste[.]ee URL diteruskan ke sana oleh skrip PowerShell.
VMDetectLoader adalah pemuat .NET (Microsoft.Win32.TaskScheduler.dll) yang dikaburkan yang dapat ditemukan di VirusTotal di https://www.virustotal.com/gui/file/0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7. Analisis metadata pemuat menunjukkan bahwa kode tersebut didasarkan pada proyek sumber terbuka https://github.com/robsonfelix/VMDetector.
Atribut Rakitan:
Sebelum memuat payload, pemuat mendeteksi mesin virtual, mencetak daftar atribut host ke konsol jika mesin virtual terdeteksi. Sebagai contoh:
Fungsionalitas
VMDetectLoader dieksekusi melalui VIA
Argumen
Deskripsi
$storeman
URL Pastée terbalik dari mana muatan yang dikodekan base64 diunduh.
MSBuild
Proses injeksi target
C:\Pengguna\Publik\Unduhan
Jalur yang digunakan dalam membuat tugas terjadwal:
C:\Users\Public\Downloads\rhabdosteus.js
1
Bendera yang menunjukkan pemeriksaan proses
bimetalisme
Nama tugas yang dijadwalkan
Selama eksekusi, VMDetectLoader, XOR mendekripsi string penting sesuai kebutuhan dari sumber daya.NET " HiXS ".
Contoh string yang telah didekripsi
Persistensi
Jika dikonfigurasi untuk melakukannya, tugas terjadwal dibuat untuk menjalankan perintah PowerShell berikut yang mengunduh dan mengeksekusi payload JavaScript:
Tugas lain dapat dibuat, jika dikonfigurasi, untuk mengeksekusi payload JavaScript menggunakan perintah berikut:
Loader juga dapat membuat kunci Registry run untuk mengeksekusi payload:
Proses injeksi
VMDetectLoader memiliki kemampuan untuk menggunakan teknik injeksi lubang proses untuk mengunggah muatan ke berbagai contoh proses target. Misalnya, untuk kampanye yang dianalisis, C:\Windows\Microsoft.NET\ Framework\ v4.0.30319\ MSBuild.exe (32-bit) atau C:\Windows\Microsoft.NET\ Framework64\ v4.0.30319\ MSBuild.exe (64-bit) adalah proses target. Fungsi yang bertanggung jawab untuk injeksi proses diberi nama HackForums.gigajew.x64.Load() untuk sampel 64-bit dan dnlib.IO.Tools.Ande() untuk sampel 32-bit,
Jalankan proses injeksi hollowing:
Jika ditentukan bahwa VMDetectLoader berjalan di lingkungan yang aman, payload akhir dimuat melalui proses hollowing. Dalam hal ini, payload akhir adalah dCRAT dengan data konfigurasi berikut.
X-Force melacak beberapa kelompok yang beroperasi di lingkungan ancaman Amerika Latin yang melakukan kampanye email yang mengirimkan MaaS untuk tujuan keuntungan finansial. Di antara kelompok yang dilacak adalah Hive0148 dan Hive0149, yang berfokus pada pengiriman Trojan Grandoriero Banking, Hive0153 mengirimkan malware Adwind dan SambaSpy, dan Hive0131. Meskipun Hive0131 biasanya berfokus pada operasi dengan pengiriman malware seperti QuasarRAT dan NJRAT, X-Force telah mengamati peningkatan kampanye yang melibatkan DCRAT. Dengan pengamatan yang stabil dan berkelanjutan terhadap malware yang dikirimkan kepada pengguna di dalam LATAM, IBM X-Force menilai bahwa Amerika Latin akan Lanjutkan menghadapi penargetan dari aktor ancaman yang ingin menerapkan trojan perbankan melalui kampanye phishing dalam upaya untuk mendapatkan kredensial pengguna dan informasi sensitif lainnya.
Entitas di LATAM didorong untuk berhati-hati dengan email yang berisi lampiran, tautan, atau yang meminta unduhan file. Selain itu, entitas disarankan untuk melakukan hal berikut:
Indikator
Jenis Indikator
Konteks
4ce1d456fa8831733ac01c4a2a32044b6581664d3
SHA256
Berkas Pembawa
6a632d8356f42694adb21c064aa9e8710b65addd
SHA256
Arsip ZIP
1603c606d62e7794da09c51ca7f321bb555044916
SHA256
DCRat
ceb88c09069b5ddc8ca525b7f2e26c4852465bc0
SHA256
JS
0df13fd42fb4a4374981474ea87895a3830eddcc7f3
SHA256
Loader .NET yang Dikaburkan
db21cc64fb7a7ed9075c96600b7e7e7007a0df7cb8
SHA256
Arsip ZIP
3c95678d140825b56e04298ce6238ce22b34611d25
SHA256
Skrip PS
7c3fbea63b7cdf013ef26831bb1850c80f4bfad0103328
SHA256
Skrip PS
b16588e0e2c6a0c8ff080ded57abe8159008d040ae
SHA256
Pengunduh Skrip Batch
hxxps://tinyurl[.]com/2ypy4jrz?id=5541213d-0ed8
URL
Tautan PDF Tertanam
hxxp://paste[.]ee/d/bx699sF9/0
URL
URL Unduhan Payload
hxxps://docs[.]google[.]com/uc?export=download&id=1aJuQtm8YUqZv12E-atslt_GvBWZ
URL
Tautan Email Tertanam
hxxp://paste[.]ee/d/jYHEqBJ3/0
URL
URL Unduhan Payload
hxxps://archive[.]org/download/new_ABBAS/new_
URL
URL Unduhan JPG
hxxps://ia601205.us.archive[.]org/26/items/new_
URL
URL Unduhan JPG
