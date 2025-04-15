A fines de marzo de 2025, IBM X-Force lideró un caso de respuesta a incidentes que involucró a Hive0148, un grupo sudamericano de delitos cibernéticos centrado en el robo financiero en toda la región. Este incidente fue parte de una serie de grandes campañas que ocurrieron entre el 19 de febrero y el 20 de marzo de 2025, entregando el troyano bancario Grandoreiro a usuarios en México y Costa Rica. El incidente involucró a una víctima que recibió dos correos electrónicos de phishing, uno de los cuales condujo a un archivo ZIP alojado en el servicio de intercambio de archivos mediafire[.]com. Si, al hacer clic en la URL proporcionada, la geolocalización de la víctima se establece para México o Costa Rica, se le redirige rápidamente a un contaboserver[.]net URL para descargar el archivo ZIP. El archivo contiene un Visual Basic Script (VBS) malicioso que, al ejecutarse, inicia un archivo ejecutable con un nombre asignado aleatoriamente. Los ejecutables en sí no pudieron recuperarse del sistema infectado. Sin embargo, el equipo de malware X-Force analizó el VBS malicioso para recuperar el ejecutable, que resultó ser un Grandoreiro Loader.

X-Force rastrea a los distribuidores que distribuyen el troyano bancario Grandoreiro que se sabe que se dirigen a entidades en México y Brasil, aunque se han observado objetivos en España, Colombia y Costa Rica. Grandoreiro es un troyano bancario de múltiples componentes probablemente operado como malware como servicio (MaaS), que presenta características como descifrado de cadenas, algoritmo de generación de dominios (DGA), así como la capacidad de usar clientes de Microsoft Outlook en hosts infectados para difundir más correos electrónicos de phishing. Grandoreiro contiene una gran lista codificada de aplicaciones bancarias específicas que utiliza para enumerar los dispositivos de las víctimas, robar credenciales y cometer fraude.

X-Force rastrea al menos tres distribuidores que despliegan diferentes versiones del troyano bancario Grandoreiro, dos identificados como Hive0148 y Hive0149, y un tercero en desarrollo. Los distribuidores de Grandoreiro se agrupan en función de ciertas tácticas, técnicas y procedimientos (TTP), como atributos de la cadena de infección, incluido el uso de diferentes cargadores y técnicas de comando y control (C2), temas de phishing, objetivos e indicadores de compromiso (IOC). Las campañas de phishing que entregan Grandoreiro a menudo contienen temas relacionados con los Servicios de Administración Tributaria, la Comisión Federal de Electricidad (CFE), la facturación electrónica, los bancos nacionales y los tribunales federales/notificaciones legales.