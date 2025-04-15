A fine marzo 2025, IBM X-Force ha guidato un caso di risposta a un incidente che coinvolgeva Hive0148, un gruppo sudamericano di crimine informatico focalizzato su furti finanziari in tutta la regione. Questo incidente faceva parte di una serie di campagne su larga scala avvenute tra il 19 febbraio e il 20 marzo 2025, che hanno distribuito il trojan bancario Grandoreiro agli utenti in Messico e Costa Rica. L'incidente ha coinvolto una vittima che ha ricevuto due e-mail di phishing, una delle quali ha portato a un archivio ZIP ospitato sul servizio di condivisione di file mediafire [.] com. Se, facendo clic sull'URL fornito, la geolocalizzazione della vittima viene stabilita sia per il Messico che per la Costa Rica, essa viene rapidamente reindirizzata a un URL contaboserver[.]net per scaricare il file ZIP. L'archivio contiene uno script Visual Basic Script (VBS) malevolo che, una volta eseguito, avvia un file eseguibile con un nome assegnato casualmente. Gli eseguibili stessi non sono stati recuperati dal sistema infetto. Tuttavia, il team malware di X-Force ha analizzato il VBS dannoso per recuperare l'eseguibile, che si è rivelato essere un caricatore Grandoreiro.
X-Force traccia i distributori che distribuiscono il trojan bancario Grandoreiro, noti per prendere di mira le entità in Messico e Brasile, sebbene siano stati osservati obiettivi in Spagna, Colombia e Costa Rica. Grandoreiro è un trojan bancario a più componenti probabilmente operato come Malware-as-a-Service (MaaS), caratterizzato da funzionalità come la decrittazione delle stringhe, l'algoritmo di generazione di domini (DGA), oltre alla capacità di utilizzare client Microsoft Outlook su host infetti per diffondere ulteriori e-mail di phishing. Grandoreiro contiene un ampio elenco codificato di applicazioni bancarie mirate che utilizza per enumerare i dispositivi delle vittime, rubare credenziali e commettere frodi.
X-Force traccia almeno tre distributori che implementano diverse versioni del trojan bancario Grandoreiro, due identificati come Hive0148 e Hive0149, e un terzo in fase di sviluppo. I distributori Grandoreiro sono raggruppati in base a determinate tattiche, tecniche e procedure (TTP), come attributi della catena di infezione, inclusi l'uso di diversi caricatori e tecniche di comando e controllo (C2), temi di phishing, obiettivi e indicatori di compromessa (IOC). Le campagne di phishing che portano a Grandoreiro spesso trattano temi legati ai servizi di amministrazione fiscale, alla Federal Electricity Commission (CFE), alla fatturazione elettronica, alle banche nazionali e ai tribunali/notifiche legali federali.
Phishing, malware
X-Force ha osservato diverse campagne Hive0148 di grandi dimensioni che hanno distribuito il trojan bancario Grandoreiro agli utenti in Messico e Costa Rica tra il 19 febbraio e il 20 marzo 2025. Le e-mail falsificano diverse organizzazioni di governo, tra cui il Servizio di amministrazione fiscale del Messico (SAT), affermando di provenire dalla Segreteria delle finanze e del credito pubblico. Hive0148 invia spesso e-mail con argomenti correlati alla SAT o alla Federal Electricity Commission (CFE), oppure con argomenti finanziari come la fatturazione.
Indirizzi e-mail del mittente osservati utilizzati da Hive0148:
Il corpo delle e-mail di alcune campagne osservate informa il destinatario che è stato inviato un atto amministrativo identificato con il numero di foglio: [varia a seconda dell'e-mail] ed è disponibile per la consultazione nella casella di posta fiscale all'indirizzo sat[.]gob[.]mx. Per quanto riguarda l'autenticità, il mittente dell'e-mail include la seguente dichiarazione: "SAT non richiede informazioni personali, codici o password tramite e-mail. Se ricevi un messaggio sospetto, non condividerlo e segnalalo tramite il nostro portale. I dati personali sono protetti in conformità alle Linee guida sulla protezione dei dati personali e alle normative fiscali vigenti. Vengono utilizzati esclusivamente per esercitare i poteri dell'autorità fiscale." Un ulteriore contesto di e-mail sostiene di provenire dall'Amministrazione Federale del Reddito Pubblico dell'Argentina, affermando che sono stati generati nuovi documenti fiscali e sono state comminate delle multe.
Esempio di oggetti di e-mail osservati:
In tutte le campagne, nel corpo dell'e-mail viene fornito un link per visualizzare l'atto amministrativo (ad esempio) o un altro documento pertinente, insieme alla password "2025". Dopo che la vittima ha fatto clic sul link incorporato, si apre un browser che mostra un link a "Documento archivo PDF". L'URL, che è una variazione di hxxps[:]//vmi2500223[.]contaboserver[.]net/, porta al download di un archivio ZIP dopo un controllo di geolocalizzazione per il Messico o il Costa Rica, a seconda dell'e-mail. Se l'utente non si trova in Messico o Costa Rica, non verrà reindirizzato e apparirà un errore di timeout.
I file di archivio contengono un Virtual Basic Script (VBS) offuscato e dannoso. Un VBS analizzato da X-Force, VER_4138SZOLMCTOhhadOBDO.vbs, funziona come un dropper che decodifica in base64 e rilascia un archivio ZIP incorporato nel sistema come %AppData%\<12-char-random-name>.zip (esempio: EJHAnQiepmGQ.zip). L'archivio ZIP contiene un Extensible Markup Language (XML) file 823213123422HFPZNBLD79004462AEMGNZNC.xml che viene decompresso dal dropper, rinominato in %AppData%\<12-char-random-name>.exe (example: EJHAnQiepmGQ.exe) ed eseguito. Il dropper crea anche un file di testo chiamato %AppData%\tYcEsgSvozkyMJsMKC.txt che contiene il percorso del payload finale.
Questa variante del loader funziona in modo simile ad altri caricatori Grandoreiro, come descritto nel 2024 da IBM X-Force. Quando EJHAnQiepmGQ.exe viene eseguito, crea un mutex basato sulla data corrente, formattata come M/DD/AAAA, quindi visualizza all'utente una finta finestra di dialogo PDF. Se si verificano degli errori, viene visualizzata una seconda finestra di dialogo di errore falsa di Adobe Reader prima che l'esecuzione termini. Una volta che l'utente fa clic sulla finestra di dialogo, il caricatore esegue diversi controlli anti-analisi per l'esecuzione di processi di strumenti di analisi, chiavi di registro, file link Microsoft sul desktop dell'utente e alcune directory.
Se il sistema supera i controlli, il caricatore raccoglie informazioni di sistema come nome utente, software antivirus, nome host, numero di serie del volume e informazioni pubbliche sul paese IP da inviare al server C2. Le informazioni sull'IP pubblico sono ottenute da http://ip-api.com/json.
Una volta ottenute le informazioni di sistema, il dominio C2 viene decrittografato dalle stringhe. L'IP del dominio viene risolto tramite DNS su HTTPS tramite l'URL https://dns.google/resolve?name=<C2Server> per aggirare il blocco basato su DNS. Per il campione analizzato, il C2 è crispandpotato[.]workisboring[.]com. Le informazioni di sistema vengono quindi inviate al C2 e, in genere, viene scaricato il trojan bancario Grandoreiro.
X-Force ha osservato una recente campagna di phishing in cui si è spacciato per enti governativi ufficiali per consegnare il trojan bancario Grandoreiro. I distributori Grandoreiro si rivolgono tipicamente agli utenti in America Latina; tuttavia, X-Force ha osservato la diffusione del malware al di fuori di LATAM, includendo regioni dell'America Centrale e Meridionale, Africa, Europa e Pacifico. Il trojan bancario Grandoreiro include almeno 1.500 applicazioni bancarie globali da colpire, che supportano l'esecuzione e permettono agli attaccanti di compiere frodi bancarie in più di 60 paesi. Le campagne che distribuiscono Grandoreiro sono degne di nota per il potenziale impatto elevato delle attività successive associate ai trojan bancari. Le campagne che hanno provocato delle infezioni hanno portato gli operatori di Grandoreiro ad acquisire con successo i dati degli utenti come le credenziali di accesso bancarie e hanno portato le vittime a frodare probabilmente almeno 3,5 milioni di euro almeno dal 2017.
Invitiamo le organizzazioni che potrebbero essere colpite da queste campagne a esaminare le seguenti raccomandazioni:
Indicatore
Tipo di indicatore
Contesto
hxxps[:]//vmi(7digits)[.]contaboserver[.]net/
URL
Reindirizzamento dell'URL georeferenziato
5.189.171.211
Indirizzo IPV4
Risoluzione URL Contaboserver
207.180.209.104
Indirizzo IPV4
Risoluzione URL Contaboserver
5.189.180.157
Indirizzo IPV4
Risoluzione URL Contaboserver
207.180.227.44
Indirizzo IPV4
Risoluzione URL Contaboserver
173.212.198.11
Indirizzo IPV4
Risoluzione URL Contaboserver
173.212.248.93
Indirizzo IPV4
Risoluzione URL Contaboserver
62.17.169.232
Indirizzo IPV4
Risoluzione URL Contaboserver
crispandpotato[.]workisboring[.]com
FQDN
C2
IBM® X-Force Premier Threat Intelligence è ora integrato con OpenCTI, offrendo informazioni fruibili sulle minacce e molto altro ancora. Accedi a insight su attori delle minacce, malware e rischi dei settori. Installa OpenCTI Connector per migliorare rilevamento e risposta, rafforzando la tua cybersecurity grazie all'esperienza di IBM X-Force. Rimani al passo con i tempi: esegui subito l'integrazione.
Scopri le minacce più recenti e rafforza le tue difese cloud con il report X-Force Cloud Threat Landscape.
Scopri come affrontare le sfide e sfruttare la resilienza dell'AI generativa nella cybersecurity.
Proteggi la tua organizzazione dalle minacce globali con il team di hacker, responder, ricercatori e analisti esperti di minacce di IBM X-Force.
Utilizza le soluzioni IBM per il rilevamento e la risposta alle minacce per rafforzare la sicurezza e accelerare il rilevamento delle minacce.
Proteggi il tuo ambiente con le soluzioni complete di difesa dalle minacce mobile di IBM MaaS360.
Adotta soluzioni complete di gestione delle minacce, proteggendo in modo esperto la tua azienda dagli attacchi informatici.