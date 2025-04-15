Pada akhir Maret 2025, IBM X-Force memimpin kasus respons insiden yang melibatkan Hive0148, sebuah kelompok kejahatan siber Amerika Selatan yang berfokus pada pencurian keuangan di seluruh wilayah. Insiden ini adalah bagian dari serangkaian kampanye besar yang terjadi antara 19 Februari dan 20 Maret 2025, mengirimkan trojan perbankan Grandoreiro kepada pengguna di Meksiko dan Kosta Rika. Insiden tersebut melibatkan korban yang menerima dua email phishing, salah satunya mengarah ke arsip ZIP yang dihosting di layanan berbagi file mediafire [.] com. Jika, setelah mengklik URL yang disediakan, geolokasi korban diketahui berada di Meksiko atau Kosta Rika, mereka dengan cepat diarahkan ke URL contaboserver [.] net untuk mengunduh file ZIP. Arsip berisi Visual Basic Script (VBS) berbahaya yang, setelah dieksekusi, meluncurkan file yang dapat dieksekusi dengan nama yang ditetapkan secara acak. File itu sendiri tidak dapat dipulihkan dari sistem yang terinfeksi. Namun, tim malware X-Force menganalisis VBS berbahaya untuk memulihkan file yang dapat dieksekusi, yang terungkap sebagai Grandoreiro Loader.

X-Force melacak distributor yang mengirimkan trojan perbankan Grandoreiro yang diketahui menargetkan entitas di Meksiko dan Brasil, meskipun target di Spanyol, Kolombia dan Kosta Rika telah diamati. Grandoreiro adalah trojan perbankan multi-komponen yang kemungkinan dioperasikan sebagai Malware-as-a-Service (MaaS), menampilkan fitur-fitur seperti dekripsi string, algoritma penghasil domain (DGA), serta kemampuan untuk menggunakan klien Microsoft Outlook pada host yang terinfeksi untuk menyebarkan email phishing lebih lanjut. Grandoreiro berisi daftar besar aplikasi perbankan bertarget yang dikodekan yang digunakan untuk menghitung perangkat korban, mencuri kredenSIAL, dan melakukan penipuan.

X-Force melacak setidaknya tiga distributor yang menerapkan versi berbeda dari trojan perbankan Grandoreiro, dua diidentifikasi sebagai Hive0148 dan Hive0149, dan ketiga dalam pengembangan. Distributor Grandoreiro dikelompokkan berdasarkan taktik, teknik, dan prosedur (TTP) tertentu, seperti atribut rantai infeksi, termasuk penggunaan berbagai pemuat dan teknik perintah dan kontrol (C2), tema phishing, target dan indikator kompromi (IOC). Kampanye phishing yang menyampaikan Grandoreiro sering berisi tema yang terkait dengan Layanan Administrasi Pajak, Komisi Listrik Federal (CFE), penagihan elektronik, bank nasional dan pengadilan Federal/pemberitahuan hukum.