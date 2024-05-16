Desde marzo de 2024, IBM X-Force ha estado rastreando varias campañas de phishing a gran escala que distribuyen el troyano bancario Grandoreiro, que probablemente funciona como malware como servicio (MaaS). El análisis del malware reveló importantes actualizaciones dentro del algoritmo de descifrado de cadenas y generación de dominios (DGA), así como la capacidad de utilizar clientes de Microsoft Outlook en hosts infectados para difundir más correos electrónicos de phishing. La última variante de malware también se dirige específicamente a más de 1500 bancos globales, lo que permite a los atacantes realizar fraudes bancarios en más de 60 países, incluidas regiones de América Central y del Sur, África, Europa y el Indo-Pacífico. Aunque tradicionalmente las campañas se han limitado a América Latina, España y Portugal, X-Force observó campañas recientes en las que se hacían pasar por el Servicio de Administración Tributaria (SAT) de México, la Comisión Federal de Electricidad (CFE) de México, la Secretaría de Administración y Finanzas de México, el Servicio de Impuestos de Argentina, y, en particular, el Servicio de Ingresos de Sudáfrica (SARS). El malware reelaborado y los nuevos objetivos pueden indicar un cambio en la estrategia desde la última acción policial contra Grandoreiro, lo que probablemente incite a los operadores a comenzar a expandir el despliegue de Grandoreiro en campañas globales de phishing, comenzando con Sudáfrica.
Desde marzo de 2024, X-Force ha observado campañas de phishing que se hacen pasar por el Servicio de Administración Tributaria (SAT) de México, la Comisión Federal de Electricidad (CFE) de México, la Secretaría de Administración y Finanzas de la ciudad de México y el Servicio de Impuestos de Argentina. Los correos electrónicos se dirigen a usuarios dentro de América Latina, incluyendo dominios de nivel superior (TLD) de México, Colombia y Chile“.mx“,“.co“ y“.cl”. Se han ocultado todas las identidades reales de las imágenes para proteger la privacidad personal.
La primera campaña parece ser un intento de ser percibida como oficial y urgente e informa al objetivo que está recibiendo un aviso final sobre un débito al Registro Federal de Contribuyentes (RFC) que no se ha pagado. Si no se paga, las consecuencias pueden incluir sanciones, multas y un bloqueo en el número de identificación fiscal del usuario, lo que afecta la capacidad del objetivo para realizar negocios y acceder a servicios de gobierno legalmente. Una campaña adicional se hace pasar por la Comisión Federal de Electricidad (CFE) de México y recuerda al destinatario que se suscribió a CFEMail y, por lo tanto, puede acceder a su estado de cuenta en formato PDF y XML haciendo clic en uno de los enlaces incrustados. Una tercera campaña que imita al Secretario de Administración y Finanzas, dirige al destinatario a hacer clic en un PDF para leer los detalles sobre un aviso de cumplimiento. Una campaña que imita al Servicio de Impuestos de Argentina indica al usuario que descargue un nuevo documento fiscal y tome las medidas correspondientes.
En cada campaña, se indica a los destinatarios que hagan clic en un enlace para ver una factura o comisión, extracto de cuenta, realizar un pago, etc., dependiendo de la entidad suplantada. Si el usuario que hace clic en los enlaces se encuentra dentro de un país específico (dependiendo de la campaña, México, Chile, España, Costa Rica, Perú o Argentina), se le redirige a una imagen de un ícono PDF y se le envía un archivo ZIP descargado en segundo plano. Los archivos ZIP contienen un ejecutable grande disfrazado con un ícono de PDF, que se descubrió que se creó el día anterior o el día en que se envió el correo electrónico.
Fig. 1, 2: Ejemplos de correos electrónicos que suplantan al SAT y la CFE
Fig. 3, 4: Secretaría de Administración y Finanzas y AFIP
Por lo general, el malware Grandoreiro se ve en campañas dirigidas a usuarios dentro de América Latina; sin embargo, después de los arrestos recientes que involucraron a operadores de Grandoreiro, X-Force ha visto un aumento en las campañas que llegan a áreas fuera de LATAM, incluidos los TLD de España, Japón, los Países Bajos e Italia. X-Force observó una campaña de phishing que se hacía pasar por el Servicio de Ingresos de Sudáfrica (SARS), que pretendía ser de la División de Servicios de Asistencia al Contribuyente. Probablemente ejecutada por el mismo operador, X-Force también observó dos campañas que se hacían pasar por el Servicio de Administración Tributaria de México. Los correos electrónicos se escriben en inglés o español y tienen el mismo formato. Los correos electrónicos hacen referencia a un número fiscal e informan al destinatario que está recibiendo una factura fiscal electrónica que cumple con las regulaciones establecidas por el Servicio de Impuestos de Sudáfrica, o de acuerdo con las regulaciones del Servicio de Administración Tributaria. El usuario recibe un enlace PDF o XML para ver la factura que inicia una descarga de archivo ZIP que contiene el ejecutable del cargador Grandoreiro "SARS 35183372 eFiling 32900947.exe" (los dígitos varían entre muestras).
Fig. 5, 6, 7: Ejemplos de correos electrónicos que suplantan al SAT y SARS
En línea con campañas anteriores, la cadena de infección de Grandoreiro comienza con un cargador personalizado. A menudo, el archivo ejecutable se infla hasta alcanzar un tamaño superior a 100 MB para dificultar el escaneo automático del antivirus. Con la esperanza de eludir la ejecución automatizada, muestra una pequeña ventana emergente de CAPTCHA que imita al lector de Adobe PDF, que requiere un clic para continuar con la ejecución.
Fig. 8: Falso lector de Adobe PDF CAPTCHA de Grandoreiro
El cargador tiene tres tareas principales:
Todas estas tareas requieren más de 120 cadenas importantes, que se cifran utilizando un algoritmo mejorado.
Primero, Grandoreiro comienza generando una cadena de clave grande, que está codificada de manera rígida y codificada triplemente en Base64. La clave observada en estas muestras comienza con "D9JL@2]790B{P_D}Z-MXR&EZLI%3W>#VQ4UF+O6XVWB16713NIO!E...". Luego toma la cadena cifrada y utiliza una decodificación personalizada para convertirla en una serie de caracteres hexadecimales interpretados como bytes.
Fig. 9: Codificación hexadecimal personalizada de Grandoreiro (tenga en cuenta que la codificación de caracteres no hexadecimales como ‘”‘ nunca se utiliza)
Grandoreiro descifra el resultado mediante el antiguo algoritmo de Grandoreiro usando la cadena de claves. A continuación, se muestra una implementación de Python de la rutina de descifrado:
Por último, se somete a una ronda final de descifrado y desencriptado AES CBC de 256 bits para recuperar la cadena de texto sin formato. Tanto la clave AES como el vector de inicio (IV) también se almacenan como cadenas cifradas y deben descifrarse utilizando el mismo algoritmo que el anterior, pero omitiendo el descifrado AES. El siguiente gráfico ofrece una visión general del proceso de descifrado completo:
Figura 10: Descifrado de la cadena de carga de Grandoreiro
Para verificar que la víctima no forma parte de un entorno aislado, el cargador Grandoreiro recopila la siguiente información y la compara con una lista de valores codificados (véase el apéndice):
Este paso de verificación también se utiliza para excluir a víctimas de países específicos. Una muestra no continuó la ejecución de infecciones con IP públicas de:
La muestra también evitó infecciones en equipos con Windows 7 ubicados en EE. UU. sin antivirus.
El siguiente paso de ejecución intenta crear un perfil básico de la víctima para mostrarlo en el panel C2. El malware enumera la siguiente información en la máquina víctima:
Grandoreiro concatena los resultados mediante la cadena “*~+” y los envía como parte de la solicitud de carga útil cifrada al servidor C2.
El servidor C2 del cargador Grandoreiro se puede descifrar a través del mismo algoritmo explicado anteriormente. El nombre de dominio resultante se resuelve a través de DNS sobre HTTPS a través de la URL https://dns.google/resolve?name=<C2 server> para eludir el bloqueo basado en DNS. Después de recibir la dirección IP de C2, el malware toma los primeros 4 dígitos de la IP y ejecuta 4 asignaciones diferentes de dígito a dígito sobre ella, lo que da como resultado el número de puerto de 4 dígitos.
Luego concatena la cadena de perfil de la víctima desde arriba junto con un mensaje en portugués en mayúsculas "CLIENT_SOLICITA_DDS_MDL" (probablemente traducido a "El cliente pide datos del módulo"). Un ejemplo de cadena sería:
La cadena se cifra y se envía como la ruta URL a través de una solicitud HTTP GET al servidor C2 que solicita la carga útil final de Grandoreiro.
Si tiene éxito, el servidor C2 responde con un código de estado HTTP 200 que contiene otro mensaje cifrado. Contiene la siguiente información:
Ejemplo:
Para realizar la descarga, Grandoreiro envía otra solicitud HTTP GET a la URL de la carga útil. El archivo descargado se almacena en el nombre de directorio especificado en "C:\ProgramData\". A continuación, el archivo se descifra mediante un algoritmo basado en RC4 utilizando la clave "7684223510". Finalmente, se descomprime utilizando la biblioteca Delphi "ZipForge" y se elimina el archivo descargado originalmente.
El archivo puede contener dos archivos, un .EXE (troyano bancario Grandoreiro) y un .CFG (archivo de configuración).
Antes de la ejecución, el cargador realiza una enumeración de la pertenencia al grupo del token de proceso actual, comprobando específicamente la presencia del SECURITY_NT_AUTHORITY SID. Si el proceso posee los privilegios necesarios, el cargador utiliza la función ShellExecuteW() con el verbo 'runas' para ejecutar la carga útil de Grandoreiro con privilegios elevados. Por el contrario, si no se dispone de los privilegios necesarios, el cargador recurre a ejecutarse a sí mismo a través de ShellExecuteW() sin elevación.
Durante todas las etapas de la infección (descarga, descifrado y ejecución de la carga útil), el cargador Grandoreiro informa mensajes de estado a su servidor C2. Algunos ejemplos son:
La carga útil final es el troyano bancario Grandoreiro. La última versión ha sido objeto de actualizaciones importantes, principalmente dentro de los algoritmos de descifrado de cadenas y cálculo de DGA. También ha incluido una gran cantidad de aplicaciones bancarias globales para atacar, apoyar la ejecución y permitir que los atacantes realicen fraudes bancarios en docenas de países. Junto con un módulo propagador especializado para Outlook y una amplia gama de características, es uno de los troyanos bancarios más grandes que se conocen y aún se está analizando. Las siguientes secciones presentan una descripción detallada de las características más destacadas de Grandoreiro, resaltando sus características y funcionalidades esenciales.
Grandoreiro comienza estableciendo la persistencia a través del registro de Windows. Ejecuta el siguiente comando para crear una nueva clave de registro Run y lanzar el malware al iniciar sesión del usuario:
Tenga en cuenta que el nombre de la clave puede diferir entre las muestras, pero a menudo está relacionado con el nombre de archivo original de la carga útil descargada. Si Grandoreiro no se ejecuta en un proceso elevado, se omite el verbo “/runas”.
Además del archivo .CFG, Grandoreiro también crea un archivo .XML en el directorio C:\Public\. Está cifrado mediante la rutina de cifrado de cadenas del cargador y almacena el nombre del archivo ejecutable Grandoreiro, la ruta y la fecha de infección.
Si Grandoreiro no puede encontrar su archivo .CFG, completará un nuevo .CFG con valores predeterminados que especifican qué funciones de Grandoreiro están habilitadas, el país de la víctima y la fecha de infección. El archivo .CFG se cifra mediante el algoritmo de cifrado de cadenas Grandoreiro explicado más adelante.
Los operadores de Grandoreiro actualizaron significativamente la lista de aplicaciones bancarias específicas, ahora dirigidas a más de 1500 bancos en todo el mundo. Las últimas variantes comienzan por determinar primero si la víctima se encuentra en la lista de países objetivo. Cada país también se asigna a una región más grande, que Grandoreiro utiliza para determinar qué búsquedas de cadenas debe ejecutar en las ventanas activas actualmente. Esto significa que, si el país víctima, por ejemplo, se identifica como Bélgica, buscará todas las aplicaciones bancarias específicas asociadas con la región de Europa. Grandoreiro asigna internamente los países a las categorías de regiones Europa, América del Norte, América Central, América del Sur, África, Indo-Pacífico e islas globales, y cada región tiene una clase Delphi asociada para buscar aplicaciones. Además, Grandoreiro tiene una clase que busca 266 cadenas únicas que identifican billeteras de criptomonedas, que se ejecuta en cada infección.
Fig. 11: Grandoreiro lanza un nuevo hilo basado en la región del país detectada
El mapa de calor que aparece a continuación destaca el número de aplicaciones bancarias únicas asociadas a cada país. Tenga en cuenta que cada aplicación puede detectarse con varias cadenas:
Fig. 12: Aplicaciones bancarias dirigidas a Grandoreiro por país (creadas con Datawrapper y rellenadas con información de la investigación del equipo de X-Force)
Grandoreiro ha confiado tradicionalmente en algoritmos de generación de dominios (DGA) para calcular su servidor C2 activo en función de la fecha actual. La iteración más reciente de Grandoreiro contiene un algoritmo reelaborado y lo lleva un paso más allá al introducir múltiples semillas para su DGA. Estas semillas se utilizan para calcular un dominio diferente para cada modo o funcionalidad del troyano bancario, lo que permite la separación de tareas C2 entre varios operadores como parte de su operación de malware como servicio. Cada muestra de Grandoreiro puede tener una semilla principal predeterminada en caso de que falte el archivo de configuración, así como una lista de semillas específicas de la función. La muestra analizada por X-Force contenía 14 semillas diferentes, lo que lleva a 14 dominios C2 posibles cada día. Para explicar el algoritmo, calcularemos los dominios para el 17 de abril de 2024. El siguiente gráfico proporciona una visualización del algoritmo con una explicación a continuación:
Fig. 13: Visualización de DGA
Comenzando con el vértice del dominio, Grandoreiro tiene un dominio asignado a cada día del año. Hay dos de estas asignaciones, una para el C2 principal y otra para todos los C2 específicos de la función. Sin embargo, de los 732 dominios de apex, solo 337 son únicos. Para el día dado, el apex principal es dnsfor[.]me y el secundario es neat-url[.]com.
Para la siguiente parte, Grandoreiro concatena la semilla "xretsmzrb" (la semilla principal) con el mes actual con formato de 2 dígitos, reemplazando cada dígito con tres caracteres codificados. Los dígitos “0” y “4” se sustituyen por “oit” y “zia” respectivamente, dando como resultado la cadena completa “xretsmzrboitzia”.
Finalmente, para cada día del mes, Grandoreiro tiene un mapeo personalizado de reemplazo de carácter a carácter. Para el día 17, después de ejecutar los 26 reemplazos de caracteres de forma iterativa, la cadena de subdominio final es "wondbbhonandhnd".
Después de calcular los dominios restantes para todas las semillas codificadas, la lista de dominios C2 para el 17 de abril de 2024 queda así:
X-Force pudo confirmar que al menos 4 de los dominios se resolvieron ese día en IP con sede en Brasil:
El puerto del servidor C2 se calcula a partir de los primeros cuatro dígitos de la dirección IP a través de una asignación personalizada de dígito a dígito, al igual que el cargador Grandoreiro. Consulte el Apéndice para obtener una lista completa de todos los dominios de Grandoreiro previamente calculados. Tenga en cuenta que Grandoreiro cambia las semillas con frecuencia. Unas semanas después de la infección inicial, X-Force observó que solo el servidor semilla C2 principal permanecía activo.
La investigación sobre la telemetría DNS de X-Force a principios de mayo muestra que las infecciones actuales se encuentran principalmente en América Latina:
Fig. 14: Geolocalizaciones de infecciones a principios de mayo
Después de intentar resolver el DGA calculado, Grandoreiro envía uno de varios mensajes de registro concatenados con datos de enumeración y encriptados, al igual que el cargador de Grandoreiro. Los siguientes mensajes pueden enviarse en función de los privilegios, AV instalados y dominios C2 activos:
Grandoreiro admite una gran cantidad de comandos diferentes, incluidos los siguientes:
El malware también admite específicamente la apertura de URL codificadas de Banco Banorte:
Además, permite la ejecución de comandos JavaScript en el navegador para simular clics en botones HTML:
javascript:document.getElementById(‘ctl00_Contentplaceholder1_lbNuevaCuenta’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_btnAceptar’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_btnContinuar’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_Button17’).click();
Debido a la gran cantidad de comandos diferentes y su denominación, el código base de Grandoreiro parece contener comandos recién agregados, así como características heredadas que ya no se utilizan activamente. Es probable que el troyano bancario esté pasando por ciclos de desarrollo frecuentes para agregar nuevas características sin mucha refactorización, lo que contribuye al tamaño general del código base.
Una de las características más interesantes de Grandoreiro es su capacidad de propagación mediante la recopilación de datos de Outlook y el uso de la cuenta de la víctima para enviar correos electrónicos no deseados. Hay al menos 3 mecanismos implementados en Grandoreiro para recolectar y exfiltrar direcciones de correo electrónico, y cada uno utiliza una semilla DGA diferente. Al utilizar el cliente local de Outlook para enviar spam, Grandoreiro puede propagarse a través de las bandejas de entrada de las víctimas infectadas por correo electrónico, lo que probablemente contribuye a la gran cantidad de spam observada desde Grandoreiro.
Para el modo de recolección de Outlook, Grandoreiro cambia su C2 a DGA seed 7, que se utiliza para exfiltrar datos. Los mensajes de registro y estado continúan en el servidor C2 principal. Por ejemplo, antes de comenzar el proceso de recolección, envía un registro que contiene los mismos datos de perfil de la víctima, así como las cadenas "CLIENT_SOLICITA_DD_EMSOUT" (el cliente solicita datos de EMSOUT) y "COLHENDO" (recolectando).
Para interactuar con el cliente Outlook local, Grandoreiro utiliza la herramienta Outlook Security Manager, un software utilizado para desarrollar complementos de Outlook. La razón principal detrás de esto es que Outlook Object Model Guard activa alertas de seguridad si detecta acceso a objetos protegidos. Outlook Security Manager permite a Grandoreiro deshabilitar estas alertas durante el comportamiento de recolección y envío de spam. Dependiendo de la arquitectura del sistema, la herramienta requiere al DLL “secman.dll” o “secman64.dll” registrarse como servidores COM. A continuación, utiliza MAPI para interactuar con Outlook.
El malware comienza localizando la carpeta raíz del buzón de correo y, a continuación, recorre de forma recursiva los elementos del correo electrónico. Para cada correo electrónico, verifica la propiedad "SenderEmailAddress" y ejecuta una lista de bloqueo contra ella, para filtrar las direcciones de correo electrónico no deseadas para su recolección:
Las direcciones de correo electrónico que no contienen ninguna de las cadenas anteriores se agregan en un archivo de texto, comprimido en ZIP y exfiltrado.
Además del proceso de recolección anterior, Grandoreiro también admite agregar un archivo PST a Outlook primero a través de la función Namespace.addStore (). Otro mecanismo de recolección compatible recorre de forma recursiva el sistema de archivos de la víctima y escanea los archivos en busca de direcciones de correo electrónico. Se abren y escanean archivos con las siguientes extensiones:
“*.txt”, “*.csv”, “*.html”, “*.xml”, “*.dat”, “*.db”, “*.sqlite”, “*.xlsx”, “*.xls”, “*.xlsm”, “*.dbf”, “*.doc”, “*.docx”, “*.docm”
Para evitar escaneos innecesarios, Grandoreiro mantiene otra lista de bloqueos de rutas que no se deben escanear, excluyendo los directorios comunes del sistema.
Para enviar correos electrónicos no deseados, Grandoreiro utiliza plantillas de phishing que recibe de su servidor C2. Luego recorre la plantilla y rellena campos marcadores como:
Justo antes de comenzar a enviar correos electrónicos, Grandoreiro inicia un hilo para detectar cualquier cuadro de diálogo que aparezca y hacer clic en él presionando específicamente las teclas TAB y BARRA ESPACIADORA. Después de enviar los correos electrónicos, el malware cubre cuidadosamente sus huellas eliminando los mensajes enviados del buzón de la víctima. Además, para gran parte del comportamiento de recolección y envío de spam, Grandoreiro se asegura de que la última entrada en la máquina infectada sea hace al menos 5 minutos (o en algunos casos más). Los desarrolladores probablemente querían asegurarse de que las víctimas no notaran ningún comportamiento sospechoso.
Durante el envío de spam, Grandoreiro informa los siguientes mensajes de estado:
Dado que Grandoreiro es un malware tan extenso, requiere una gran cantidad de cadenas, lo que facilitaría mucho su detección si no estuvieran cifradas. Grandoreiro presenta más de 10 000 cadenas dispersas entre más de cien funciones de carga de cadenas específicas de característica. El mecanismo de descifrado difiere ligeramente del descifrado de cadenas del cargador:
Utiliza la misma clave Grandoreiro que el cargador, que descifra a través de su cifrado y la clave "A". Una vez que tiene la clave, decodifica de forma personalizada la cadena cifrada utilizando la misma codificación que el cargador y, a continuación, descifra los bytes resultantes mediante el modo AES ECB utilizando la implementación ElAES Pascal. La clave AES es una versión codificada de la clave Grandoreiro previamente descifrada. Después de otra ronda de decodificación personalizada, la cadena finalmente se descifra a través del antiguo algoritmo Grandoreiro y la clave Grandoreiro.
Figura 15: Descifrado de cadenas del troyano bancario Grandoreiro
X-Force observó varias campañas recientes de phishing que se hacían pasar por entidades de gobierno oficiales para entregar el troyano bancario Grandoreiro. Los distribuidores de Grandoreiro suelen dirigirse a usuarios de América Latina; sin embargo, desde la última acción policial contra los operadores de Grandoreiro, X-Force ha observado que el malware se propaga fuera de LATAM para incluir regiones de América Central y del Sur, África, Europa y el Pacífico. Las muestras del troyano bancario Grandoreiro que X-Force ha analizado han sido objeto de importantes actualizaciones dentro de los algoritmos de descifrado de cadenas y cálculo de DGA. Estas muestras recién analizadas ahora incluyen una gran cantidad de al menos 1500 aplicaciones bancarias globales para atacar, que respaldan la ejecución y permiten a los atacantes realizar fraudes bancarios en más de 60 países. Las actualizaciones realizadas al malware, además del aumento significativo de las aplicaciones bancarias en varios países, indican que los distribuidores de Grandoreiro buscan realizar campañas y distribuir malware a escala global.
Alentamos a las organizaciones que pueden verse afectadas por estas campañas a revisar las siguientes recomendaciones:
Indicador
Tipo de indicador
Contexto
root@yhsp<two digit number>.rufnag.com
Dirección de correo electrónico
Remitente de correo electrónico
hxxps[:]//pjohconstruccionescpaz[.]com/?8205-23069071&tokenValue=
92b768ccface4e96cee662517800b208f88ff796
URL
Enlace de descarga de archivo malicioso
97f3c0beef87b993be321b5af3bf748cc8e003e
6e90cf5febf69dfd81e85f581
SHA256
ZIP Archiv
afd53240a591daf50f556ca952278cf098dbc5
b6c2b16c3e46ab5a0b167afb40
SHA256
ZIP Archiv
f8f2c7020b2d38c806b5911acb373578cbd69
612cbe7f21f172550f4b5d02fdb
SHA256
Componente del cargador Grandoreiro
10b498562aef754156e2b540754bf1ccf9a9cb
62c732bf9b661746dd08c67bd1
SHA256
Componente del cargador Grandoreiro
aviso.<four digit number>@cfe.mx
Dirección de correo electrónico
Remitente de correo electrónico
hxxps[:]//hilcfacdigitaelpichipt[.]norwayeast[.]cloudapp
.azure[.]com/?docs/pdf/15540f02-d006-4e3b-b2de-6873baff3b2a
URL
Enlace de descarga de archivo malicioso
55426bb348977496189cc6a61b711a3aadde
155772a650ef17fba1f653431965
SHA256
ZIP Archiv
arq_@other.com.<four digit number>
Dirección de correo electrónico
Remitente de correo electrónico
root@<6 alpha-numeric value>.rufnag.com
Dirección de correo electrónico
Remitente de correo electrónico
bfcd71a4095c2e81e2681aaf0239436368bc2
ebddae7fdc8bb486ffc1040602c
SHA256
ZIP Archiv
3f920619470488b8c1fda4bb82803f72205
b18b1ea31402b461a0b8fe737d6bd
SHA256
Componente del cargador Grandoreiro
84572c0de71bce332eb9fa03fd34243326
3ad0c4f95dd3acd86d1207fa7d23f0
SHA256
Grandoreiro
hxxps[:]//pjohconstruccionescpaz[.]com?docs/xml
/WCA161006TN9/15540f02-d006-4e3b-b2de-6873baff3b2a
URL
Enlace de descarga de archivo malicioso
29f19d9cd8fe38081a2fde66fb2e1eff33c
4d4b5714ef5cada5cc76ec09bf2fa
SHA256
ZIP Archiv
hxxps[:]//onwfacttasunslahf[.]norwayeast[.]cloudapp
[.]azure[.]com?_task=mail&_action=get&_mbox=
INBOX&_uid=19101&_token=
rbrJMXNUOQvrlaWOOxGAyj7vcufaFN3r&_part
=1.2.3&_embed=1&_mimeclass=image
URL
Enlace de descarga de archivo malicioso
2ab8c3a1a7fe14a49084fbf42bbdd04d63
79e6ae2c74d801616e2b9cf8c8519c
SHA256
Componente del cargador Grandoreiro
hxxps[:]//servicerevenueza[.]southeastasi
a[.]cloudapp.azure[.]com/?PDF-XML-71348793
URL
Enlace de descarga de archivo malicioso
root[@]zpmbnoxf[.]crazydocuments[.]com
Dirección de correo electrónico
Remitente de correo electrónico
d005abe0a29b53c5995a10ce540cc2ff
be96e7f80bf43206d4db7921b6d6aa10
SHA256
Componente del cargador Grandoreiro
70f22917ec1fa3a764e21f16d68af80b69
7fb9d0eb4f9cd6537393b622906908
SHA256
Componente del cargador Grandoreiro
fb3d843d35c66f76b1b1b88260ad2009
6e118ef44fd94137dbe394f53c1b8a46
SHA256
Componente del cargador Grandoreiro
6772d2425b5a169aca824de3ff2aac400
fa64c3edd93faaabd17d9c721d996c1
SHA256
Componente del cargador Grandoreiro
gruposat@gob.mx
Dirección de correo electrónico
Remitente de correo electrónico
marcasat@gob.mx
Dirección de correo electrónico
Remitente de correo electrónico
assistance@gov.za
Dirección de correo electrónico
Remitente de correo electrónico
hxxps[:]//officebusinessaccount[.]eastus[.]cloudapp
[.]azure[.]com/?PDF-XML-<eight digit number>
URL
Enlace de descarga de archivo malicioso
hxxps[:]//servicerevenueza[.]southeastasia[.]
cloudapp[.]azure[.]com/?PDF-XML-<eight digit number>
URL
Enlace de descarga de archivo malicioso
18.231.181[.]227
ipv4
Servidor Grandoreiro C2
18.231.158[.]159
ipv4
Servidor Grandoreiro C2
15.229.211[.]175
ipv4
Servidor Grandoreiro C2
15.228.245[.]103