Mexikói banki csalás
Az Elastic Security Labs egy REF6045 néven követett, operátor által irányított banki csalási kampányt tárt fel, amely mexikói bankok, fintech szolgáltatók, fizetésfeldolgozók, kriptotőzsdék, befektetési platformok, a mexikói adóhatóság és távközlési szolgáltatók ügyfeleit célozza. A fertőzés ClickFix technikával indul, az áldozat egy Google CAPTCHA-nak álcázott oldalon egy Windows Futtatás ablakba bemásolandó parancsot kap. Ez letölti a SCMBANKER nevű, PowerShell-alapú eszközkészletet, amelynek egyes komponensei már 2025 októbere óta használatban vannak. A telepítés alatt a kártevő a fakeupdate.net oldal segítségével teljes képernyős hamis Windows Update animációt jelenít meg, hogy elterelje a felhasználó figyelmét, miközben UAC jogosultságemelést próbál elérni, telepíti saját komponenseit, majd rendszerleíró adatbázis-bejegyzésekkel és az Indítópult módosításával biztosítja a perzisztenciát. A telepítés végén kényszerített újraindítást hajt végre, hogy minden modul automatikusan elinduljon.
A SCMBANKER nem hagyományos banki trójai, hanem ember által irányított csalási platform. Központi eleme egy Visual Basic Script, amely egyszerre több modult indít el. A watch.ps1 másodpercenként figyeli az aktív ablakokat, és amint a felhasználó megnyit egy célzott banki vagy pénzügyi oldalt, értesíti a támadót. Ezután az operátor dönt a következő lépésről: a shot.ps1 képernyőképet készít, az overlay.ps1 teljes képernyős hamis banki figyelmeztetést jelenít meg, amely telefonos ügyfélszolgálat hívására ösztönzi az áldozatot – vishing -, a redirect.ps1 automatikus billentyűleütésekkel adathalász oldalra irányítja a böngészőt, míg a clip.ps1 300 ezredmásodpercenként figyeli a vágólapot, és ha CLABE bankszámlaszámot vagy bankkártyaszámot észlel, azt a támadó által megadott adatokra cseréli, így az átutalás a csalók számlájára érkezik. Ha teljes hozzáférésre van szükség, a malware telepíti a legitim Remote Utilities Host távoli adminisztrációs szoftvert, eltávolítja annak eltávolítási bejegyzéseit, és rejtett távoli hozzáférést biztosít az operátornak.
Az Elastic a kampányt egy súlyos operációbiztonsági (OPSEC) hiba miatt tudta részletesen elemezni. A támadók nyitva hagyták fájlszervereik könyvtárlistáit, valamint egy nyilvánosan letölthető zkt.zip archívumban a teljes webszerver-tartalmat is. Emellett egy hitelesítés nélküli webszerkesztő felület is elérhető volt, amelyből a kutatók megismerték a phishing-oldalakat, a célpontlistákat, a C2-infrastruktúrát és a csalási logikát. A PowerShell-szkriptekben számos LLM használatára utaló nyom maradt – például részletes AI-generált kommentek, oktató jellegű függvényfejlécek és a generálás során használt spanyol nyelvű promptok maradványai –, ami arra utal, hogy a fejlesztők a malware jelentős részét generatív AI segítségével készítették, majd csak minimálisan módosították.