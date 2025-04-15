في أواخر مارس 2025، قادت IBM X-Force حالة استجابة للحوادث تشمل Hive0148، وهي مجموعة جرائم إلكترونية في أمريكا الجنوبية تركِّز على سرقة الأموال في المنطقة. كانت هذه الحادثة جزءًا من سلسلة حملات كبيرة جرت بين 19 فبراير و20 مارس 2025، حيث تم توصيل حصان طروادة البنكي Grandoreiro للمستخدمين في المكسيك وكوستاريكا. شملت الحادثة تلقي الضحية لرسالتين تصيّد، إحداهما أدت إلى أرشيف ZIP مستضاف على خدمة مشاركة الملفات mediafire[.]com. في حال النقر على عنوان URL المرفق وتحديد الموقع الجغرافي للضحية على أنه في المكسيك أو كوستاريكا، تتم إعادة توجيهها بسرعة إلى عنوان URL تابع لـ contaboserver[.]net لتنزيل ملف ZIP. يحتوي الأرشيف على نص برمجي خبيث بلغة Visual Basic (VBS)، يقوم عند تنفيذه بتشغيل ملف تنفيذي يحمل اسمًا عشوائيًا. لم يكن بالإمكان استعادة الملفات التنفيذية نفسها من النظام المتضرر. ومع ذلك، قامت فرقة البرمجيات الخبيثة في X-Force بتحليل سكريبت VBS الضار لاستعادة الملف التنفيذي، الذي تبين أنه محمِّل Grandoreiro.
تتابع X-Force موزعي حصان طروادة البنكي Grandoreiro المعروفين باستهدافهم لكيانات في المكسيك والبرازيل، رغم أنه تم رصد أهداف في إسبانيا وكولومبيا وكوستاريكا أيضًا. يُعَد Grandoreiro حصان طروادة بنكيًا متعدد المكونات من المحتمل تشغيله كنموذج برنامج ضار كخدمة (MaaS)، ويتميّز بخصائص مثل فك تشفير السلاسل النصية، وخوارزمية توليد النطاقات (DGA)، بالإضافة إلى القدرة على استخدام عملاء Microsoft Outlook على الأجهزة المصابة لنشر رسائل تصيّد إضافية. يحتوي Grandoreiro على قائمة كبيرة مشفرة مسبقًا لتطبيقات بنكية مستهدفة، يستخدمها لتعداد أجهزة الضحايا وسرقة بيانات الاعتماد وارتكاب الاحتيال.
تتابع X-Force ما لا يقل عن ثلاثة موزعين ينشرون نسخًا مختلفة من حصان طروادة البنكي Grandoreiro، اثنان منهما معروفان باسم Hive0148 وHive0149، والثالث قيد التطوير. يتم تصنيف موزعي Grandoreiro استنادًا إلى بعض الأساليب والتقنيات والإجراءات (TTPs)، مثل خصائص سلسلة الإصابة، بما في ذلك استخدام محمِّلات مختلفة وتقنيات القيادة والتحكم (C2)، وموضوعات التصيّد، والأهداف، ومؤشرات الاختراق (IOCs). غالبًا ما تحتوي حملات التصيّد التي توصِل Grandoreiro على موضوعات مرتبطة بخدمات إدارة الضرائب، وهيئة الكهرباء الفيدرالية (CFE)، والفوترة الإلكترونية، والبنوك الوطنية، والإشعارات القضائية/الفيدرالية.
التصيد الاحتيالي والبرامج الضارة
رصدت X-Force عدة حملات كبيرة لـ Hive0148 قامت بتوصيل حصان طروادة البنكي Grandoreiro للمستخدمين في المكسيك وكوستاريكا بين 19 فبراير و20 مارس 2025. تقوم الرسائل البريدية بتزييف عدة مؤسسات حكومية، بما في ذلك خدمات إدارة الضرائب في المكسيك (SAT)، مع ادعاء أنها صادرة عن أمانة المالية والائتمان العام. غالبًا ما يرسل Hive0148 رسائل بريدية تحمل موضوعات مرتبطة بـ SAT أو هيئة الكهرباء الفيدرالية (CFE)، أو مواضيع مالية مثل الفوترة.
عناوين البريد الإلكتروني للمرسلين التي استخدمها Hive0148:
تُفيد نصوص بعض الرسائل البريدية في الحملات التي تمت ملاحظتها المستلم بأن إجراءً إداريًا يحمل رقم folio: [يختلف حسب الرسالة] قد تم إرساله، وهو متاح للمراجعة في صندوق الضرائب الخاص بهم على sat[.]gob[.]mx. على الأرجح لإضفاء المصداقية، يتضمن مرسل البريد الإلكتروني البيان التالي: "لا تطلب SAT المعلومات الشخصية أو الرموز أو كلمات المرور عبر البريد الإلكتروني". إذا تلقيت رسالة مشبوهة، لا تقم بمشاركتها وأبلغ عنها عبر بوابتنا. تتم حماية بياناتك الشخصية وفقًا لإرشادات حماية البيانات الشخصية واللوائح الضريبية السارية. يُستخدم حصريًا لممارسة صلاحيات سلطة الضرائب". تُشير سياقات إضافية في الرسائل البريدية إلى أنها صادرة عن الإدارة الفيدرالية للإيرادات العامة في الأرجنتين، مُعلنةً أنه تم إصدار مستندات ضريبية جديدة وأنه تم توقيع غرامات.
أمثلة على عناوين الرسائل البريدية التي تم رصدها:
في جميع الحملات، يتضمن نص الرسالة البريدية رابطًا لمراجعة الإجراء الإداري (على سبيل المثال) أو مستند ذي صلة، مصحوبًا بكلمة المرور "2025". بعد أن ينقر الضحية على الرابط المضمَّن، يفتح المتصفح ليعرض رابطًا بعنوان "Documento archivo PDF". يؤدي الرابط، وهو نسخة من hxxps[:]//vmi2500223[.]contaboserver[.]net/، إلى تنزيل أرشيف ZIP بعد التحقق من الموقع الجغرافي للضحية في المكسيك أو كوستاريكا، حسب البريد الإلكتروني. إذا لم يكن المستخدم داخل المكسيك أو كوستاريكا، فلن تتم إعادة توجيه المستخدم، وسيظهر خطأ بالمهلة.
تحتوي ملفات الأرشيف على برنامج نصي خبيث ومشوَّه بلغة Visual Basic (VBS). يعمل أحد برامج VBS النصية التي حللها X-Force، وهو VER_4138SZOLMCTOhhadOBDO.vbs، كأداة إسقاط تقوم بفك ترميز Base64 ثم إسقاط أرشيف ZIP مضمّن على النظام باسم %AppData%\<12-char-random-name>.zip.(مثال: EJHAnQiepmGQ.zip). يحتوي أرشيف ZIP على ملف لغة الترميز القابلة للامتداد (XML) باسم 823213123422HFPZNBLD79004462AEMGNZNC.xml، حيث تقوم أداة الإسقاط بفك ضغطه ثم إعادة تسميته إلى %AppData%\<12-char-random-name>.exe (على سبيل المثال: EJHAnQiepmGQ.exe) وتنفيذه. تعمل أداة الإسقاط أيضًا على إنشاء ملف نصي باسم %AppData%\tYcEsgSvozkyMJsMKC.txt يحتوي على مسار الحمولة النهائية.
يعمل هذا المتغير من المحمِّل بطريقة مشابهة لمحمِّلات Grandoreiro الأخرى، كما ورد تفصيله في تقرير عام 2024 الصادر عن IBM X-Force. عند تنفيذ EJHAnQiepmGQ.exe، يقوم بإنشاء mutex اعتمادًا على التاريخ الحالي بصيغة M/DD/YYYY، ثم يعرض للمستخدم نافذة مزيفة تحاكي ملف PDF. في حال حدوث أي أخطاء، يتم عرض نافذة خطأ ثانية مزيفة لبرنامج Adobe Reader قبل إنهاء التنفيذ. بمجرد أن ينقر المستخدم على مربع الحوار، يُجري المحمِّل عدة فحوصات مضادة للتحليل للكشف عن العمليات المرتبطة بأدوات التحليل، ومفاتيح السجل، وملفات اختصارات Microsoft على سطح المكتب وبعض الدلائل المحددة.
في حال اجتاز النظام هذه الفحوصات، يقوم المحمِّل بجمع معلومات النظام، مثل اسم المستخدم، وبرنامج مكافحة الفيروسات، واسم المضيف، والرقم التسلسلي لوحدة التخزين، ومعلومات بلد عنوان IP العام، لإرسالها إلى خادم القيادة والتحكم. يتم الحصول على معلومات الملكية الفكرية العامة من http://ip-api.com/json.
بعد الحصول على معلومات النظام، يتم فك تشفير نطاق خادم القيادة والتحكم من السلاسل النصية. يتم حل عنوان IP الخاص بالنطاق عبر DNS over HTTPS باستخدام الرابط https://dns.google/resolve?name= وذلك لتجاوز آليات الحظر المعتمدة على DNS. بالنسبة إلى العينة التي جرى تحليلها، كان خادم القيادة والتحكم هو crispandpotato[.]workisboring[.]com. بعد ذلك يتم إرسال معلومات النظام إلى خادم القيادة والتحكم، وعادةً ما يتم تنزيل حصان طروادة البنكي Grandoreiro.
رصد فريق X-Force حملة تصيّد حديثة تنتحل صفة جهات حكومية رسمية بهدف نشر حصان طروادة البنكي Grandoreiro. عادةً ما يستهدف موزعو Grandoreiro المستخدمين في أمريكا اللاتينية، إلا إن فريق X-Force لاحَظ انتشار البرمجية الخبيثة خارج منطقة LATAM ليشمل مناطق في أمريكا الوسطى والجنوبية وأفريقيا وأوروبا ومنطقة المحيط الهادئ. يضم حصان طروادة البنكي Grandoreiro ما لا يقل عن 1,500 تطبيق مصرفي عالمي كأهداف، ما يُتيح تنفيذه وتمكين المهاجمين من ارتكاب عمليات احتيال مصرفي في أكثر من 60 دولة. تبرز الحملات التي توصِل برمجية Grandoreiro بسبب التأثير المحتمل الكبير للأنشطة اللاحقة المرتبطة بأحصنة طروادة المصرفية. أدَّت الحملات التي أسفرت عن إصابات إلى تمكُّن مشغِّلي Grandoreiro من الاستحواذ على بيانات المستخدمين، مثل بيانات تسجيل الدخول المصرفية، كما نتج عنها تعرُّض الضحايا لعمليات احتيال من المرجح أن قيمتها لا تقل عن 3.5 ملايين يورو منذ عام 2017 على الأقل.
نحث المؤسسات التي قد تتأثر بهذه الحملات على استعراض التوصيات التالية:
المؤشر
نوع المؤشر
السياق
hxxps[:]//vmi(7digits)[.]contaboserver[.]net/
عنوان URL
إعادة توجيه URL المقيَّد جغرافيًا
5.189.171.211
عنوان IPV4
تحليل عنوان URL لخادم Contabo
207.180.209.104
عنوان IPV4
تحليل عنوان URL لخادم Contabo
5.189.180.157
عنوان IPV4
تحليل عنوان URL لخادم Contabo
207.180.227.44
عنوان IPV4
تحليل عنوان URL لخادم Contabo
173.212.198.11
عنوان IPV4
تحليل عنوان URL لخادم Contabo
173.212.248.93
عنوان IPV4
تحليل عنوان URL لخادم Contabo
62.17.169.232
عنوان IPV4
تحليل عنوان URL لخادم Contabo
crispandpotato[.]workisboring[.]com
FQDN
C2
