Pada akhir Maret 2025, IBM X-Force memimpin kasus respons insiden yang melibatkan Hive0148, sebuah kelompok kejahatan siber Amerika Selatan yang berfokus pada pencurian keuangan di seluruh wilayah. Insiden ini adalah bagian dari serangkaian kampanye besar yang terjadi antara 19 Februari dan 20 Maret 2025, mengirimkan trojan perbankan Grandoreiro kepada pengguna di Meksiko dan Kosta Rika. Insiden tersebut melibatkan korban yang menerima dua email phishing, salah satunya mengarah ke arsip ZIP yang dihosting di layanan berbagi file mediafire [.] com. Jika, setelah mengklik URL yang disediakan, geolokasi korban diketahui berada di Meksiko atau Kosta Rika, mereka dengan cepat diarahkan ke URL contaboserver [.] net untuk mengunduh file ZIP. Arsip berisi Visual Basic Script (VBS) berbahaya yang, setelah dieksekusi, meluncurkan file yang dapat dieksekusi dengan nama yang ditetapkan secara acak. File itu sendiri tidak dapat dipulihkan dari sistem yang terinfeksi. Namun, tim malware X-Force menganalisis VBS berbahaya untuk memulihkan file yang dapat dieksekusi, yang terungkap sebagai Grandoreiro Loader.
X-Force melacak distributor yang mengirimkan trojan perbankan Grandoreiro yang diketahui menargetkan entitas di Meksiko dan Brasil, meskipun target di Spanyol, Kolombia dan Kosta Rika telah diamati. Grandoreiro adalah trojan perbankan multi-komponen yang kemungkinan dioperasikan sebagai Malware-as-a-Service (MaaS), menampilkan fitur-fitur seperti dekripsi string, algoritma penghasil domain (DGA), serta kemampuan untuk menggunakan klien Microsoft Outlook pada host yang terinfeksi untuk menyebarkan email phishing lebih lanjut. Grandoreiro berisi daftar besar aplikasi perbankan bertarget yang dikodekan yang digunakan untuk menghitung perangkat korban, mencuri kredenSIAL, dan melakukan penipuan.
X-Force melacak setidaknya tiga distributor yang menerapkan versi berbeda dari trojan perbankan Grandoreiro, dua diidentifikasi sebagai Hive0148 dan Hive0149, dan ketiga dalam pengembangan. Distributor Grandoreiro dikelompokkan berdasarkan taktik, teknik, dan prosedur (TTP) tertentu, seperti atribut rantai infeksi, termasuk penggunaan berbagai pemuat dan teknik perintah dan kontrol (C2), tema phishing, target dan indikator kompromi (IOC). Kampanye phishing yang menyampaikan Grandoreiro sering berisi tema yang terkait dengan Layanan Administrasi Pajak, Komisi Listrik Federal (CFE), penagihan elektronik, bank nasional dan pengadilan Federal/pemberitahuan hukum.
X-Force mengamati beberapa kampanye besar Hive0148 yang mengirimkan trojan perbankan Grandoreiro kepada pengguna di Meksiko dan Kosta Rika antara 19 Februari dan 20 Maret 2025. Email tersebut memalsukan beberapa organisasi pemerintah termasuk Layanan Administrasi Pajak Meksiko (SAT) dengan email yang menyatakan berasal dari Sekretariat Keuangan dan Kredit Publik. Hive0148 sering mengirim email dengan tema yang terkait dengan SAT atau Federal Electricity Commission (CFE), atau terkait keuangan seperti penagihan.
Alamat email pengirim yang diamati yang digunakan Hive0148:
Badan email dari beberapa kampanye yang diamati memberi tahu penerima bahwa tindakan administratif yang diidentifikasi dengan nomor folio: [bervariasi per email] telah dikirim, dan tersedia untuk tinjauan di Kotak Masuk Pajak mereka di sat [.] gob [.] mx. Untuk mengelabui keaslian, pengirim email menyertakan pernyataan berikut: " SAT tidak meminta informasi pribadi, kode, atau kata sandi melalui email. Jika Anda menerima pesan yang mencurigakan, jangan bagikan dan laporkan melalui portal kami. Data pribadi Anda dilindungi sesuai dengan Pedoman Perlindungan Data Pribadi dan peraturan pajak saat ini. Ini digunakan secara eksklusif untuk menjalankan kekuasaan Otoritas Pajak." Konteks email tambahan dimaksudkan berasal dari Administrasi Pendapatan Publik Federal Argentina, yang menyatakan bahwa dokumen pajak baru telah dibuat dan denda telah dikeluarkan.
Contoh subjek email yang diamati:
Di semua kampanye, tautan untuk melihat tindakan administratif (misalnya) atau dokumen relevan lainnya disediakan di badan email bersama dengan kata sandi "2025 ". Setelah korban mengklik tautan yang disematkan, browser terbuka untuk mengungkapkan tautan ke " Documento Archivo PDF ". URL, yang merupakan variasi dari hxxps[:]//vmi2500223[.]contaboserver[.]net/, mengarah ke unduhan arsip ZIP setelah pemeriksaan geolokasi untuk Meksiko atau Kosta Rika, tergantung pada email. Jika pengguna tidak berada di Meksiko atau Kosta Rika, pengguna tidak akan dialihkan, dan kesalahan batas waktu akan muncul.
File arsip berisi Virtual Basic Script (VBS) berbahaya yang dikaburkan. Satu VBS yang dianalisis oleh X-Force, VER_4138SzolMcTohhadobdo.vbs, berfungsi sebagai dropper yang menerjemahkan base64 dan membuang arsip ZIP tertanam ke sistem sebagai %AppData%\<12-char-random-name>.zip (contoh: EJHAnQiepmGQ.zip). Arsip ZIP tersebut berisi file Extensible Markup Language (XML) 823213123422HFPZNBLD79004462AEMGNZNC.xml yang diekstrak oleh dropper, diganti namanya menjadi %AppData%\<12-char-random-name>.exe (contoh: EJHAnQiepmGQ.exe) dan dieksekusi. Dropper juga membuat file teks bernama %AppData%\ tYcEsgSvozkyMJsMKC.txt yang berisi jalur payload akhir.
Varian pemuat ini beroperasi mirip dengan pemuat Grandoreiro lainnya seperti yang diperinci pada tahun 2024 oleh IBM X-Force. Ketika dijalankan, EJHAnQiepmGQ.exe membuat mutex berdasarkan tanggal saat ini, diformat sebagai M/DD/YYYY, lalu menampilkan kotak dialog PDF palsu kepada pengguna. Jika terjadi kesalahan, kotak dialog kesalahan Adobe Reader palsu kedua ditampilkan sebelum eksekusi berakhir. Setelah pengguna mengklik kotak dialog, pemuat melakukan beberapa pemeriksaan anti-analisis untuk menjalankan proses alat analisis, kunci registri, file tautan Microsoft di desktop pengguna dan direktori tertentu.
Jika sistem melewati pemeriksaan, pemuat mengumpulkan informasi sistem seperti nama pengguna, perangkat lunak antivirus, nama host, nomor seri volume dan informasi negara IP publik untuk dikirim ke server C2. Informasi IP publik diperoleh dari http://ip-api.com/json.
Setelah informasi sistem diperoleh, domain C2 didekripsi dari string. IP domain diselesaikan melalui DNS melalui HTTPS melalui URL https://dns.google/resolve?name=<C2Server> untuk menghindari pemblokiran berbasis DNS. Untuk sampel yang dianalisis, C2 adalah crispandpotato[.]membosankan[.]com. Informasi sistem kemudian dikirim ke C2 dan biasanya, Trojan perbankan Grandoreiro diunduh.
X-Force mengamati kampanye phishing baru-baru ini yang menyamar sebagai entitas pemerintah resmi untuk mengirimkan trojan perbankan Grandoreiro. Distributor Grandoreiro biasanya menargetkan pengguna di Amerika Latin; Namun, X-Force telah mengamati malware menyebar di luar LATAM untuk mencakup wilayah di Amerika Tengah dan Selatan, Afrika, Eropa dan Pasifik. Trojan perbankan Grandoreiro mencakup setidaknya 1.500 aplikasi perbankan global untuk ditargetkan, yang mendukung eksekusi dan memungkinkan penyerang melakukan penipuan perbankan di lebih dari 60 negara. Kampanye yang memberikan Grandoreiro terkenal karena potensi aktivitas tindak lanjut berdampak tinggi yang terkait dengan trojan perbankan. Kampanye yang mengakibatkan infeksi telah menyebabkan operator Grandoreiro berhasil menangkap data pengguna seperti kredensial login perbankan, dan telah mengakibatkan korban ditipu setidaknya 3,5 juta Euro sejak setidaknya 2017.
Kami mendorong organisasi yang mungkin terkena dampak kampanye ini untuk meninjau rekomendasi berikut:
Indikator
Jenis Indikator
Konteks
hxxps[:]//vmi(7digits)[.]contaboserver[.]net/
URL
Pengalihan URL Berbasis Geofencing
5.189.171.211
Alamat IPV4
Resolusi URL Contaboserver
207.180.209.104
Alamat IPV4
Resolusi URL Contaboserver
5.189.180.157
Alamat IPV4
Resolusi URL Contaboserver
207.180.227.44
Alamat IPV4
Resolusi URL Contaboserver
173.212.198.11
Alamat IPV4
Resolusi URL Contaboserver
173.212.248.93
Alamat IPV4
Resolusi URL Contaboserver
62.17.169.232
Alamat IPV4
Resolusi URL Contaboserver
crispandpotato[.]workisboring[.]com
FQDN
C2
