REF6045 атакует банки Мексики через SCMBANKER и фишинг
Масштабная операция по банковскому мошенничеству REF6045 продемонстрировала новый уровень угроз для финансового сектора Мексики. Ключевой особенностью атаки стал операторский подход, в котором социальная инженерия сплетается со специализированным PowerShell-инструментарием SCMBANKER. Жертв заманивают на поддельные страницы CAPTCHA, вынуждая собственноручно запустить вредоносную команду — и этот клик запускает всю цепочку внедрения.
Инфекция через ClickFix: фальшивая проверка и скрытая установка
Заражение начинается с поддельной системы проверки ClickFix. Пользователь видит стандартный запрос подтверждения, но вместо безобидного действия его перенаправляют на выполнение команды в среде Windows. Пока на экране отображается подставная страница обновления системы, в фоне отрабатывают вредоносные скрипты. Такой отвлекающий манёвр маскирует первичное проникновение SCMBANKER.
Особого внимания заслуживает механизм усталости от согласия UAC. Злоумышленники многократно провоцируют диалог контроля учётных записей, вынуждая пользователя в итоге подтвердить повышение привилегий. После получения административного доступа скрипт временно блокирует мышь, чтобы беспрепятственно выполнить закрепление в системе: создаются ключи реестра Run и копируются скрипты, обеспечивающие автоматический запуск при каждом входе в систему.
Арсенал SCMBANKER: от мониторинга сессий до перехвата буфера обмена
Основное назначение инструментария — охота на банковские операции. SCMBANKER способен отслеживать, когда жертва взаимодействует с конкретными финансовыми учреждениями, делать снимки экрана и немедленно загружать их на удалённый сервер. Это позволяет оператору получать уведомления в реальном времени и оперативно реагировать.
Среди других опасных возможностей:
- Манипуляция буфером обмена. Вредонос перехватывает критически важные банковские данные, такие как номера счетов или CLABE, и подменяет их реквизитами, контролируемыми атакующим.
- Фишинговые перенаправления. При попытке зайти на легитимный банковский сайт жертва незаметно перенаправляется на мошенническую страницу.
- Движок фишинга по телефону (vishing). Инструмент определяет публичный IP-адрес жертвы и подталкивает её к запуску remote access tool, замаскированного под приглашение от банка. Это позволяет злоумышленникам перейти от автоматизированной атаки к прямому телефонному мошенничеству с участием живого оператора.
- Механизм самовозобновления. Архитектура SCMBANKER предусматривает обновление и расширение функциональности без переустановки и потери закрепления в системе.
Искусственный интеллект на службе киберпреступников
Анализ скриптов выявил любопытную деталь: многие компоненты создавались с использованием языковых моделей. Об этом свидетельствуют характерные комментарии, неоднородное форматирование и логические несоответствия внутри кода. Очевидно, разработчики активно применяли процесс разработки на основе искусственного интеллекта, ускоряя создание и модификацию вредоносных модулей.
Проколы OPSEC и недооценённая опасность
Несмотря на продуманные техники, операция REF6045 не лишена серьёзных оперативных ошибок. Исследователи обнаружили открытые серверные директории и панель редактирования без какой-либо аутентификации, что позволило заглянуть в инфраструктуру атакующих. Тем не менее, даже такая, казалось бы, примитивная конструкция демонстрирует высокую результативность в сборе конфиденциальных данных и компрометации частных лиц.
Совокупность агрессивной социальной инженерии, вредоносного скриптинга и адаптивного инструментария превращает REF6045 в значимую угрозу для мексиканского финансового сектора. Широкий спектр техник — от поддельных CAPTCHA до полноценного vishing — говорит о том, что злоумышленники готовы использовать весь доступный арсенал для достижения своих целей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



