All'inizio di maggio 2025, IBM X-Force ha osservato Hive0131 condurre campagne e-mail rivolte agli utenti in Colombia con notifiche elettroniche di procedimenti penali, presumibilmente provenienti dalla Magistratura della Colombia. Hive0131 è un gruppo finanziariamente motivato, probabilmente originario del Sud America, che conduce abitualmente campagne in gran parte in America Latina (LATAM) per consegnare un'ampia gamma di carichi di merci. Le campagne attuali imitano la corrispondenza ufficiale e contengono o un link incorporato o un'esca PDF con un link incorporato. Fare clic sul link incorporato avvierà la catena di infezione per eseguire il trojan bancario "DCRat" in memoria.
DCRat è gestito come Malware-as-a-Service (MaaS), apparso per la prima volta almeno nel 2018 e ampiamente pubblicizzato sui forum russi dedicati alla criminalità informatica, ed è acquistabile per circa 7 USD per un abbonamento di due mesi. La presenza di DCRat è diffusa ed è diventata sempre più popolare in LATAM almeno dal 2024. Durante l'estate del 2024, X-Force ha osservato diverse campagne che hanno preso di mira pesantemente le entità in Colombia, imitando in tutti i casi un'azienda LATAM specializzata in ecosistemi di documenti elettronici in Messico e Colombia. Tuttavia, date le differenze nella catena di infezione e nella distribuzione di DCRat, X-Force ritiene che le campagne del 2024 e quelle attuali siano state condotte da attori diversi. Le campagne osservate nel 2024 si basavano in larga misura su file RAR protetti da password contenenti NSIS per eseguire un downloader GuLoader, mentre queste campagne recenti si basano su un caricatore .NET offuscato che abbiamo chiamato VMDetectLoader.
DCRat è dotato di plugin in grado di svolgere le seguenti attività, sebbene gli attori delle minacce possano creare plugin personalizzati per svolgere attività aggiuntive:
MaaS
All'inizio di maggio 2025, X-Force ha osservato delle campagne e-mail di Hive0131 che imitavano la Magistratura della Colombia (Rama Judicial de Colombia) e pretendevano di provenire dal Circuito Civile di Bogotá, Colombia, per inviare notifiche elettroniche di procedimenti penali. Le campagne osservate contengono o un'esca PDF con un link a un TinyURL oppure un link incorporato a una posizione Google Docs.
Panoramica della catena di infezione - PDF con TinyURL
Per le e-mail contenenti un'esca PDF che porta a un tinyurl, la vittima viene reindirizzata a un archivio ZIP denominato 1Juzgado 08 Civil Circuito de Bogotá Notificacion electronica Orden de Embargo.Uue. L'archivio ZIP contiene file innocui così come un file JavaScript malevolo denominato 1Juzgado 08 Civil Circuito de Bogotá Notificacion electrónica Orden de Embargo.js. Il file JavaScript scarica un payload JavaScript da un sito paste[.]ee e lo esegue. Questo payload esegue quindi un comando PowerShell che scarica un JPG da hxxps://archive[.]org/download/new_ABBAS/new_ABBAS.jpg con un caricatore codificato in base64 aggiunto alla fine del file. Una volta eseguito, il caricatore scarica ed esegue il DCRat in memoria.
Il caricatore è chiamato VMDetectLoader per la sua capacità di determinare se è in esecuzione in un ambiente sandbox. L'analisi indica che il caricatore si basa sul progetto open-source https://github.com/robsonfelix/VMDetector.
Panoramica della catena di infezione - Link Google Docs incorporato
Questa catena di infezione viene avviata con e-mail di phishing che contengono un link a un download su Google Docs di un archivio ZIP protetto da password chiamato CUI 158616000129-2025-10047_122011111777.zip, la cui password è presente nell'e-mail ed è 3004. L'archivio contiene un downloader di file batch, CUI 158616000129-2025-10047_122011111777.bat, che scarica ed esegue un componente VBScript (VBS) offuscato da
Il payload finale viene quindi scaricato da VMDetectLoader tramite un paste[.]EE URL passato dallo script PowerShell.
VMDetectLoader è un loader .NET (Microsoft.Win32.TaskScheduler.dll) oscurato. che si può trovare su VirusTotal al https://www.virustotal.com/gui/file/0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7. L'analisi dei metadati del caricatore indica che il codice è basato sul progetto open-source https://github.com/robsonfelix/VMDetector.
Attributi di assemblaggio:
Prima di caricare il payload, il caricatore rileva le macchine virtuali, stampando una lista degli attributi dell'host sulla console se viene rilevata una VM. Ad esempio:
Funzionalità
VMDetectLoader viene eseguito tramite la sua funzione
Argomento
Descrizione
$storeman
URL Pastee invertito da cui viene scaricato un payload con codifica base64.
MSBuild
Processo di iniezione del target
C:\Users\Public\Downloads
Percorso utilizzato per creare un'attività pianificata:
C:\Users\Public\Downloads\rhabdosteus.js
1
Flag che indica i controlli di processo
bimetallismo
Nome dell'attività pianificata
Durante l'esecuzione, VMDetectLoader, XOR decripta le stringhe notevoli quando necessario dalla risorsa .NET "hIXS".
Esempio di stringhe decrittografate
Persistenza
Se configurata in tal senso, viene creata un'attività pianificata per eseguire il seguente comando PowerShell che scarica ed esegue un payload JavaScript:
Un altro compito può essere creato, se configurato, per eseguire il payload JavaScript usando il seguente comando:
Il caricatore può anche creare una chiave di esecuzione del registro per eseguire il payload:
Iniezione di processo
VMDetectLoader ha la capacità di utilizzare la tecnica di iniezione di hollowing di processo per caricare un payload in diverse istanze di processo target. Ad esempio, per la campagna analizzata, C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe (32-bit) o C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe (64-bit) è il processo target. La funzione responsabile dell'iniezione del processo si chiama HackForums.gigajew.x64.Load() per i campioni a 64 bit e dnlib.IO.Tools.Ande() per i campioni a 32 bit.
Processo di iniezione con svuotamento del processo:
Se VMDetectLoader determina di essere in esecuzione in un ambiente sicuro, il payload finale viene caricato tramite lo svuotamento del processo. In questo caso, il payload finale è DCRat con i seguenti dati di configurazione.
X-Force monitora diversi gruppi che operano nel landscape delle minacce latinoamericane e che conducono campagne e-mail che distribuiscono MaaS allo scopo di ottenere un guadagno finanziario. Tra i gruppi monitorati ci sono Hive0148 e Hive0149, che si concentrano sulla distribuzione del trojan bancario Grandoriero, Hive0153 che distribuisce i malware Adwind e SambaSpy e Hive0131. Sebbene Hive0131 si concentri solitamente su operazioni con distribuzione di malware quali QuasarRAT e NjRAT, X-Force ha osservato un aumento delle campagne che coinvolgono DCRat. Con la costante e continua osservazione del malware fornito agli utenti all'interno di LATAM, IBM X-Force valuta che l'America Latina continui ad affrontare il bersaglio da parte di attori delle minacce che cercano di implementare trojan bancari tramite campagne di phishing per ottenere credenziali e altre informazioni sensibili.
Si raccomanda alle entità in America Latina di prestare attenzione alle e-mail contenenti allegati, link o che richiedono il download dei file. Inoltre, si consiglia alle entità di eseguire quanto segue:
Indicatore
Tipo di indicatore
Contesto
4ce1d456fa8831733ac01c4a2a32044b6581664d3
SHA256
File del vettore
6a632d8356f42694adb21c064aa9e8710b65addd
SHA256
Archivio ZIP
1603c606d62e7794da09c51ca7f321bb555044916
SHA256
DCRat
ceb88c09069b5ddc8ca525b7f2e26c4852465bc0
SHA256
JS
0df13fd42fb4a4374981474ea87895a3830eddcc7f3
SHA256
Caricatore .NET offuscato
db21cc64fb7a7ed9075c96600b7e7e7007a0df7cb8
SHA256
Archivio ZIP
3c95678d140825b56e04298ce6238ce22b34611d25
SHA256
Script PS
7c3fbea63b7cdf013ef26831bb1850c80f4bfad0103328
SHA256
Script PS
b16588e0e2c6a0c8ff080ded57abe8159008d040ae
SHA256
Scaricatore di script in batch
hxxps://tinyurl[.]com/2ypy4jrz?id=5541213d-0ed8
URL
Link PDF incorporato
hxxp://paste[.]ee/d/bx699sF9/0
URL
URL per il download del payload
hxxps://docs[.]google[.]com/uc?export=download&id=1aJuQtm8YUqZv12E-atslt_GvBWZ
URL
Link e-mail incorporato
hxxp://paste[.]ee/d/jYHEqBJ3/0
URL
URL per il download del payload
hxxps://archive[.]org/download/new_ABBAS/new_
URL
URL di download JPG
hxxps://ia601205.us.archive[.]org/26/items/new_
URL
URL di download JPG
