2025年3月下旬、IBM® X-Forceは、地域全体での金銭的窃盗に焦点を当てた南米サイバー犯罪グループ、Hive0148に関するインシデント対応事件を主導しました。このインシデントは、2025年2月19日から3月20日までの間に発生した一連の大規模なキャンペーンの一部であり、メキシコとコスタリカのユーザーにGrandoreiroバンキング型トロイの木馬が配信されました。このインシデントでは被害者が2件のフィッシングEメールを受け取り、そのうち1件がファイル共有サービスmediafire[.]comにホストされているZIPアーカイブへ誘導されるものでした。提供されたURLをクリックして、被害者の地理位置情報がメキシコまたはコスタリカのいずれかで確立されると、すぐにcontaboserver[.]netにリダイレクトされます。ZipファイルをダウンロードするためのURL。アーカイブには、実行時にランダムに割り当てられた名前で実行可能ファイルを起動する悪意のあるVisual Basic Script（VBS）が含まれています。実行可能ファイル自体は、感染したシステムから回収できませんでした。しかし、X-Forceマルウェア・チームが悪意のあるVBSを分析して実行可能ファイルを復元したところ、これがGrandoreiroローダーであることが判明しました。

X-Forceは、メキシコとブラジルのエンティティを標的とすることが知られているGrandoreiroバンキング型トロイの木馬を配信するディストリビューターを追跡していますが、スペイン、コロンビア、コスタリカでも標的が発見されています。Grandoreiroは、マルチコンポーネント・バンキング型トロイの木馬であり、サービスとしてのマルウェア（MaaS）として運用される可能性があり、文字列復号化、ドメイン生成アルゴリズム（DGA）、感染したホストでMicrosoft Outlookクライアントを使用する機能などの特徴を備えています。フィッシングEメールを拡散する恐れがありますGrandoreiroには、被害者デバイスを列挙し、認証情報を盗み、詐欺を行うために使用する、標的となった銀行アプリケーションの大規模なハード・コード・リストが含まれています。

X-Forceは、Grandoreiroバンキング型トロイの木馬の異なるバージョンを展開している少なくとも3社のディストリビューターを追跡しています。2つはHive0148とHive0149と識別され、3番目は調査中です。Grandoreiroのディストリビューターは、感染チェーン属性（さまざまなローダーやコマンド・アンド・コントロール（C2）手法の使用、フィッシングテーマ、ターゲット、侵害指標（IOC）など、特定の施策、技法、手順（TTP）に基づいて分類されています。Grandoreiroを提供するフィッシング・キャンペーンには、税務行政サービス、連邦電力委員会（CFE）、電子請求書、国立銀行、連邦裁判所/法的通知に関連するテーマが含まれることがよくあります。