SCMBANKER 恶意软件利用 ClickFix 诱饵攻击墨西哥银行用户

SCMBANKER 恶意软件利用 ClickFix 诱饵攻击墨西哥银行用户

导语:Elastic Security Labs 披露了一项名为 SCMBANKER 的银行欺诈行动,该行动通过 ClickFix 诱饵攻击墨西哥银行、金融科技、支付处理商及加密货币交易所用户,恶意软件的开发大量借助大语言模型。

一项新的银行欺诈行动正利用 ClickFix 诱饵,针对墨西哥的银行、金融科技企业、支付处理商以及加密货币交易所的客户发起攻击。该活动集群由 Elastic Security Labs 追踪,代号为 REF6045,其感染途径是向受害者展示伪造的 CAPTCHA 验证页面,诱骗他们运行一条恶意命令,进而安装一款名为 SCMBANKER 的 PowerShell 工具包。该恶意软件的部分组件可追溯至 2025 年 10 月。

安全研究人员 Jia Yu Chan 和 Salim Bitam 表示:"一旦安装完毕,操作者便可实时观察受害者在何时打开银行会话,锁定屏幕并在其后显示伪造的银行警告,将受害者引导至实时的电话交互环节,重定向其浏览器,或替换复制到剪贴板中的账号。"研究人员补充道:"为了实现完全接管,他们还可以部署一款商业化的远程访问工具。"

SCMBANKER 是专为攻击墨西哥金融生态系统而设计的,有证据显示其中很大一部分工具的开发借助了大语言模型(LLM)。该工具包支持广泛的功能,包括银行会话监控、屏幕截图捕获、语音钓鱼(vishing)覆盖层、网络钓鱼重定向、剪贴板操控以及 Remote Utilities 远程工具的安装。

Elastic 的发现源于 REF6045 基础设施的一次操作安全失误,这使得他们能够从一个位于 "68.211.161[.]46" 的开放目录中,检索到一个包含该行动完整 Web 根目录的 ZIP 压缩包。

攻击的起点是一个伪装成安全验证页面的伪造 CAPTCHA 检查页面,它催促潜在受害者完成一个类似 Google reCAPTCHA 的挑战,要求他们识别包含消防栓的图像。一旦完成该步骤,受害者就会被引导按照指示,将一条恶意命令复制并粘贴到 Windows "运行" 对话框中。

随后,这会触发执行一个批处理脚本,该脚本通过多阶段流程负责安装恶意软件,初始阶段会显示一个伪造的 Windows 更新屏幕。Elastic 表示:"该批处理脚本会立即以 kiosk 模式启动 Microsoft Edge,并指向 fakeupdate[.]net——一个广为人知的渗透测试/红队站点,用于呈现一个伪造的 Windows 更新屏幕。"研究人员指出:"这种干扰手段为脚本的完整执行争取了时间。"

在下一阶段,脚本会检查自身是否以管理员权限运行,如果尚未获得权限,则会每 20 秒弹出一次 Windows 用户账户控制(UAC)提示,从而有效地诱导受害者在同意对话框上点击 "是"。一旦获得提升的权限,它便会锁定鼠标移动。结合伪造的 Windows 更新屏幕,这一行为迫使受害者停留原地,从而为恶意软件利用 bitsadmin 工具从同一目录在后台下载完整工具集争取了充足的时间。

原文配图

在 SCMBANKER 组件被下载至受害主机后,它会通过 Windows 启动文件夹以及注册表 Run 键建立持久化机制,随后以编程方式发送一个 F11 按键事件以退出全屏模式,并启动 "Ctrl+W" 按键序列以关闭伪造的 Windows 更新标签页。

Elastic 表示:"然而,这种方法仅适用于标准的全屏浏览器窗口,而不适用于 kiosk 模式。"研究人员指出:"随后它会使用 shutdown /r /t 02 命令强制重启并完成切换。重启后,通过注册表 Run 键实现的先前持久化机制会触发执行 VBScript 文件('run.vbs')。"

该 Visual Basic 脚本充当主启动器,用于并行运行多个模块。其中一个重定向目标 "bancaporinternetbbmx[.]online" 包含一个页面加载时的 Telegram 通知脚本,用于收集浏览器、设备和 IP 地址等详细信息,并将这些信息发送至一个 Telegram 聊天,从而提醒操作者一名被重定向的受害者已经抵达诱饵页面,以便实施后续攻击。

Elastic 表示:"这些脚本显示出明显的 AI 协助痕迹,很可能是使用西班牙语向大语言模型发出提示,随后再进行人工混淆处理。"研究人员指出:"代码呈现出一种分裂的双重人格:一边是清晰、描述性的函数名称和大量解释性注释,另一边则是被手工缩短的变量以及残留的生成痕迹。指令式注释直接置于其描述的代码上方,这表明作者使用了类似 Copilot 或 Cursor 的内联式编码助手。"

综合来看,这些发现代表了一个威胁行为者的成果——其借助 AI 拼凑出一套粗糙的工具集,其典型特征包括复制粘贴式的批处理文件、拙劣的工艺以及操作安全方面的失误。研究人员总结道:"受害者作为一个被动的信息源被维持着,而操作者则在实时仪表盘上观察,仅对值得投入精力的目标采取行动,根据需求按 IP 切换启用浏览器重定向、语音钓鱼锁定、剪贴板替换,或者部署完整的 RAT。"

研究人员进一步强调:"尽管 SCMBANKER 相当粗糙,但它已经拥有真实的受害者。操作者自己面板上实时显示的受害者计数器以及带有标签的机器表明,个人用户正在被主动锁定为目标。"


来源信息

来源:The Hacker News

原文链接:https://thehackernews.com/2026/07/scmbanker-malware-uses-clickfix-lures.html

作者:info@thehackernews.com (The Hacker News)