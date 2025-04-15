A fine marzo 2025, IBM X-Force ha guidato un caso di risposta a un incidente che coinvolgeva Hive0148, un gruppo sudamericano di crimine informatico focalizzato su furti finanziari in tutta la regione. Questo incidente faceva parte di una serie di campagne su larga scala avvenute tra il 19 febbraio e il 20 marzo 2025, che hanno distribuito il trojan bancario Grandoreiro agli utenti in Messico e Costa Rica. L'incidente ha coinvolto una vittima che ha ricevuto due e-mail di phishing, una delle quali ha portato a un archivio ZIP ospitato sul servizio di condivisione di file mediafire [.] com. Se, facendo clic sull'URL fornito, la geolocalizzazione della vittima viene stabilita sia per il Messico che per la Costa Rica, essa viene rapidamente reindirizzata a un URL contaboserver[.]net per scaricare il file ZIP. L'archivio contiene uno script Visual Basic Script (VBS) malevolo che, una volta eseguito, avvia un file eseguibile con un nome assegnato casualmente. Gli eseguibili stessi non sono stati recuperati dal sistema infetto. Tuttavia, il team malware di X-Force ha analizzato il VBS dannoso per recuperare l'eseguibile, che si è rivelato essere un caricatore Grandoreiro.

X-Force traccia i distributori che distribuiscono il trojan bancario Grandoreiro, noti per prendere di mira le entità in Messico e Brasile, sebbene siano stati osservati obiettivi in Spagna, Colombia e Costa Rica. Grandoreiro è un trojan bancario a più componenti probabilmente operato come Malware-as-a-Service (MaaS), caratterizzato da funzionalità come la decrittazione delle stringhe, l'algoritmo di generazione di domini (DGA), oltre alla capacità di utilizzare client Microsoft Outlook su host infetti per diffondere ulteriori e-mail di phishing. Grandoreiro contiene un ampio elenco codificato di applicazioni bancarie mirate che utilizza per enumerare i dispositivi delle vittime, rubare credenziali e commettere frodi.

X-Force traccia almeno tre distributori che implementano diverse versioni del trojan bancario Grandoreiro, due identificati come Hive0148 e Hive0149, e un terzo in fase di sviluppo. I distributori Grandoreiro sono raggruppati in base a determinate tattiche, tecniche e procedure (TTP), come attributi della catena di infezione, inclusi l'uso di diversi caricatori e tecniche di comando e controllo (C2), temi di phishing, obiettivi e indicatori di compromessa (IOC). Le campagne di phishing che portano a Grandoreiro spesso trattano temi legati ai servizi di amministrazione fiscale, alla Federal Electricity Commission (CFE), alla fatturazione elettronica, alle banche nazionali e ai tribunali/notifiche legali federali.