Фишинговые атаки Hive0131 в Колумбии: заражения DCRat и обфускация

Хакерская группа Hive0131 организовала масштабные фишинговые атаки в Колумбии

В мае 2025 года киберпреступники из группы Hive0131 запустили серию фишинговых кампаний, нацеленных на юридические лица в Колумбии. Злоумышленники маскировались под представителей судебной системы страны, чтобы повысить доверие жертв и увеличить шансы успешного заражения. Эти атаки демонстрируют рост сложности и изощренности вредоносных операций в регионе Латинской Америки.

Механизм атаки: вредоносные вложения и ссылки

Фишинговые письма содержали либо PDF-файлы с вредоносными ссылками, либо встроенные ссылки, которые перенаправляли пользователей на документы Google. В некоторых случаях жертвы скачивали ZIP-архив с именем «1Juzgado 08 Civil Circuito de Bogot Notificacion electronica Orden de Embargo.uue». Внутри архива содержались как безобидные файлы, так и вредоносные скрипты на JavaScript.

Основные этапы заражения выглядели следующим образом:

• JavaScript-файл загружал дополнительную полезную нагрузку с сайта paste.ee и запускал ее через PowerShell.
• Загрузчик под названием VMDetectLoader проверял наличие изолированной (виртуальной) среды и, если не обнаруживал таковую, приступал к выполнению вредоносной полезной нагрузки.

Особенности вредоносного загрузчика VMDetectLoader

VMDetectLoader отличается продвинутыми методами защиты и обфускации кода, которые затрудняют обнаружение и анализ вредоносного ПО. Среди ключевых особенностей загрузчика:

• Проверка выполнения в виртуальной среде — если среда подозрительная, загрузчик останавливает свою работу;
• Внедрение вредоносной полезной нагрузки, известной как DCRat, напрямую в легитимные процессы, такие как MSBuild.exe, для сокрытия активности;
• Использование открытых исходных кодов и библиотек для создания гибкого и надежного инструмента;
• Создание запланированных задач для обеспечения устойчивого присутствия вредоносного ПО на инфицированной системе.

Для активации вредоносного ПО также применялись ZIP-архивы с паролем, который указывался непосредственно в фишинговом сообщении. В этих архивах содержались пакетные файлы, запускавшие скрипты VBS и PowerShell для загрузки и распространения VMDetectLoader.

Тенденции угроз в Латинской Америке и роль MaaS

По оценке специалистов из IBM X-Force, регион Латинской Америки продолжает оставаться уязвимым для целенаправленных кибератак. Отмечается рост использования концепции Malware as a Service (MaaS), когда вредоносный софт распространяется по подписке или заказу. В частности, в латиноамериканском пространстве основной целью остаются финансовые учреждения и банки.

В рамках MaaS-групп, таких как Hive0148 и Hive0149, широко распространяется банковский троянец Grandoriero. Тем временем Hive0131 сосредоточилась на использовании DCRat, что указывает на диверсификацию инструментов и стратегий злоумышленников.

Выводы и рекомендации

События мая 2025 года свидетельствуют о том, что фишинговые кампании в Латинской Америке приобретают все более сложные и адаптивные формы. Использование подмены судебных органов, сложных загрузчиков с проверкой виртуальных сред и внедрением вредоносных процессов демонстрирует высокий уровень профессионализма хакеров.

Для снижения рисков эксперты рекомендуют юридическим лицам и другим организациям в регионе:

• Внимательно проверять электронные письма, особенно от государственных и судебных органов;
• Не открывать вложения и ссылки из непроверенных источников;
• Использовать многоуровневую защиту, включая антивирусные решения и системы обнаружения вторжений;
• Регулярно обучать сотрудников основам кибербезопасности и распознаванию фишинговых угроз.

Продолжающиеся активности групп, подобных Hive0131, подчёркивают необходимость усиления мер безопасности и международного сотрудничества для противодействия киберпреступности в регионе.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.