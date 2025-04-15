A fines de marzo de 2025, IBM X-Force lideró un caso de respuesta a incidentes que involucró a Hive0148, un grupo sudamericano de delitos cibernéticos centrado en el robo financiero en toda la región. Este incidente fue parte de una serie de grandes campañas que ocurrieron entre el 19 de febrero y el 20 de marzo de 2025, entregando el troyano bancario Grandoreiro a usuarios en México y Costa Rica. El incidente involucró a una víctima que recibió dos correos electrónicos de phishing, uno de los cuales condujo a un archivo ZIP alojado en el servicio de intercambio de archivos mediafire[.]com. Si, al hacer clic en la URL proporcionada, la geolocalización de la víctima se establece para México o Costa Rica, se le redirige rápidamente a un contaboserver[.]net URL para descargar el archivo ZIP. El archivo contiene un Visual Basic Script (VBS) malicioso que, al ejecutarse, inicia un archivo ejecutable con un nombre asignado aleatoriamente. Los ejecutables en sí no pudieron recuperarse del sistema infectado. Sin embargo, el equipo de malware X-Force analizó el VBS malicioso para recuperar el ejecutable, que resultó ser un Grandoreiro Loader.
X-Force rastrea a los distribuidores que distribuyen el troyano bancario Grandoreiro que se sabe que se dirigen a entidades en México y Brasil, aunque se han observado objetivos en España, Colombia y Costa Rica. Grandoreiro es un troyano bancario de múltiples componentes probablemente operado como malware como servicio (MaaS), que presenta características como descifrado de cadenas, algoritmo de generación de dominios (DGA), así como la capacidad de usar clientes de Microsoft Outlook en hosts infectados para difundir más correos electrónicos de phishing. Grandoreiro contiene una gran lista codificada de aplicaciones bancarias específicas que utiliza para enumerar los dispositivos de las víctimas, robar credenciales y cometer fraude.
X-Force rastrea al menos tres distribuidores que despliegan diferentes versiones del troyano bancario Grandoreiro, dos identificados como Hive0148 y Hive0149, y un tercero en desarrollo. Los distribuidores de Grandoreiro se agrupan en función de ciertas tácticas, técnicas y procedimientos (TTP), como atributos de la cadena de infección, incluido el uso de diferentes cargadores y técnicas de comando y control (C2), temas de phishing, objetivos e indicadores de compromiso (IOC). Las campañas de phishing que entregan Grandoreiro a menudo contienen temas relacionados con los Servicios de Administración Tributaria, la Comisión Federal de Electricidad (CFE), la facturación electrónica, los bancos nacionales y los tribunales federales/notificaciones legales.
X-Force observó varias grandes campañas Hive0148 que entregaban el troyano bancario Grandoreiro a usuarios en México y Costa Rica entre el 19 de febrero y el 20 de marzo de 2025. Los correos electrónicos falsifican varias organizaciones de gobierno, incluyendo el Servicio de Administración Tributaria (SAT) de México, con correos electrónicos que indican ser de la Secretaría de Hacienda y Crédito Público. Hive0148 a menudo envía correos electrónicos con temas relacionados con el SAT o la Comisión Federal de Electricidad (CFE), o relacionados con finanzas, como la facturación.
Direcciones de correo electrónico de remitentes observadas utilizadas por Hive0148:
Los cuerpos de correo electrónico de algunas campañas observadas informan al destinatario que se envió un acto administrativo identificado con el número de folio: [varía según el correo electrónico] y está disponible para su revisión en su bandeja de entrada de impuestos en sat[.]gob[.]mx. Probablemente por razones de autenticidad, el remitente del correo electrónico incluye la siguiente declaración: "El SAT no solicita información personal, códigos o contraseñas por correo electrónico. Si recibe un mensaje sospechoso, no lo comparta y denúncielo a través de nuestro portal. Sus datos personales están protegidos de acuerdo con las Directrices de Protección de Datos Personales y la normativa fiscal vigente. Se utiliza exclusivamente para ejercer las facultades de la Autoridad Tributaria”. El contexto adicional del correo electrónico pretende ser de la Administración Federal de Ingresos Públicos de Argentina, indicando que se han generado nuevos documentos fiscales y se ha incurrido en multas.
Ejemplo de temas de correo electrónico observados:
En todas las campañas, se proporciona un enlace para ver el acto administrativo (por ejemplo) u otro documento relevante en el cuerpo del correo electrónico junto con la contraseña "2025". Después de que una víctima haya hecho clic en el enlace incrustado, se abre un navegador para revelar un enlace a "Documento archivo PDF". La URL, que es una variación de hxxps[:]//vmi2500223[.]contaboserver[.]net/, conduce a una descarga de archivo ZIP después de una verificación de geolocalización para México o Costa Rica, según el correo electrónico. Si el usuario no se encuentra dentro de México o Costa Rica, no se redirigirá al usuario y aparecerá un error de tiempo de espera.
Los archivos contienen un Virtual Basic Script (VBS) malicioso ofuscado. Un VBS analizado por X-Force, VER_4138SZOLMCTOhhadOBDO.vbs, funciona como un dropper que decodifica base64 y descarga un archivo ZIP incrustado en el sistema como %AppData%\<12-char-random-name>.zip (ejemplo: EJHAnQiepmGQ.zip). El archivo ZIP contiene un archivo Extensible Markup Language (XML) 823213123422HFPZNBLD79004462AEMGNZNC.xml que el dropper descomprime, renombra como %AppData%\<12-char-random-name>.exe (por ejemplo: EJHAnQiepmGQ.exe) y ejecuta. El dropper también crea un archivo de texto llamado %AppData%\tYcEsgSvozkyMJsMKC.txt que contiene la ruta de la carga útil final.
Esta variante de cargador funciona de manera similar a otros cargadores Grandoreiro, como IBM X-Force detalló en 2024. Cuando se ejecuta EJHAnQiepmGQ.exe, crea un mutex basado en la fecha actual, con el formato M/DD/AAAA, y luego muestra un cuadro de diálogo PDF falso al usuario. Si se produce algún error, se muestra un segundo cuadro de diálogo de error falso de Adobe Reader antes de que finalice la ejecución. Una vez que el usuario hace clic en el cuadro de diálogo, el cargador realiza varias comprobaciones antianálisis para ejecutar procesos de herramientas de análisis, claves de registro, archivos de enlace de Microsoft en el escritorio del usuario y ciertos directorios.
Si el sistema pasa las comprobaciones, el cargador recopila información del sistema, como nombre de usuario, software antivirus, nombre de host, número de serie del volumen e información de país de IP pública para enviarla al servidor C2. La información de IP pública se obtiene de http://ip-api.com/json.
Una vez que se obtiene la información del sistema, el dominio C2 se descifra de las cadenas. La IP del dominio se resuelve vía DNS sobre HTTPS mediante la URL https://dns.google/resolve?name=<C2Server> para evitar bloqueos basados en DNS. Para la muestra analizada, el C2 es crispandpotato[.]workisboring[.]com. Luego, la información del sistema se envía al C2 y, por lo general, se descarga el troyano bancario Grandoreiro.
X-Force observó una reciente campaña de phishing que se hacía pasar por entidades gubernamentales oficiales para entregar el troyano bancario Grandoreiro. Los distribuidores de Grandoreiro suelen dirigirse a usuarios de América Latina; sin embargo, X-Force ha observado que el malware se propaga fuera de LATAM para incluir regiones de América Central y del Sur, África, Europa y el Pacífico. El troyano bancario Grandoreiro incluye al menos 1500 aplicaciones bancarias globales para atacar, que respaldan la ejecución y permiten a los atacantes realizar fraudes bancarios en más de 60 países. Las campañas que ofrecen Grandoreiro son notables debido a la posible actividad de seguimiento de alto impacto asociada con los troyanos bancarios. Las campañas que han dado lugar a infecciones han llevado a los operadores de Grandoreiro a capturar con éxito datos de usuarios como credenciales de inicio de sesión bancarias, y han resultado en que las víctimas sean defraudadas por probablemente al menos 3.5 millones de euros desde al menos 2017.
Alentamos a las organizaciones que pueden verse afectadas por estas campañas a revisar las siguientes recomendaciones:
Indicador
Tipo de indicador
Contexto
hxxps[:]//vmi(7dígitos)[.]contaboserver[.]net/
URL
Redirección de URL geovallada
5.189.171.211
Dirección IPV4
Resolución de URL de Contaboserver
207.180.209.104
Dirección IPV4
Resolución de URL de Contaboserver
5.189.180.157
Dirección IPV4
Resolución de URL de Contaboserver
207.180.227.44
Dirección IPV4
Resolución de URL de Contaboserver
173.212.198.11
Dirección IPV4
Resolución de URL de Contaboserver
173.212.248.93
Dirección IPV4
Resolución de URL de Contaboserver
62.17.169.232
Dirección IPV4
Resolución de URL de Contaboserver
crispandpotato[.]workisboring[.]com
FQDN
C2
