REF6045 атакует банки Мексики через SCMBANKER и фишинг

Масштабная операция по банковскому мошенничеству REF6045 продемонстрировала новый уровень угроз для финансового сектора Мексики. Ключевой особенностью атаки стал операторский подход, в котором социальная инженерия сплетается со специализированным PowerShell-инструментарием SCMBANKER. Жертв заманивают на поддельные страницы CAPTCHA, вынуждая собственноручно запустить вредоносную команду — и этот клик запускает всю цепочку внедрения.

Инфекция через ClickFix: фальшивая проверка и скрытая установка

Заражение начинается с поддельной системы проверки ClickFix. Пользователь видит стандартный запрос подтверждения, но вместо безобидного действия его перенаправляют на выполнение команды в среде Windows. Пока на экране отображается подставная страница обновления системы, в фоне отрабатывают вредоносные скрипты. Такой отвлекающий манёвр маскирует первичное проникновение SCMBANKER.

Особого внимания заслуживает механизм усталости от согласия UAC. Злоумышленники многократно провоцируют диалог контроля учётных записей, вынуждая пользователя в итоге подтвердить повышение привилегий. После получения административного доступа скрипт временно блокирует мышь, чтобы беспрепятственно выполнить закрепление в системе: создаются ключи реестра Run и копируются скрипты, обеспечивающие автоматический запуск при каждом входе в систему.

Арсенал SCMBANKER: от мониторинга сессий до перехвата буфера обмена

Основное назначение инструментария — охота на банковские операции. SCMBANKER способен отслеживать, когда жертва взаимодействует с конкретными финансовыми учреждениями, делать снимки экрана и немедленно загружать их на удалённый сервер. Это позволяет оператору получать уведомления в реальном времени и оперативно реагировать.

Среди других опасных возможностей:

  • Манипуляция буфером обмена. Вредонос перехватывает критически важные банковские данные, такие как номера счетов или CLABE, и подменяет их реквизитами, контролируемыми атакующим.
  • Фишинговые перенаправления. При попытке зайти на легитимный банковский сайт жертва незаметно перенаправляется на мошенническую страницу.
  • Движок фишинга по телефону (vishing). Инструмент определяет публичный IP-адрес жертвы и подталкивает её к запуску remote access tool, замаскированного под приглашение от банка. Это позволяет злоумышленникам перейти от автоматизированной атаки к прямому телефонному мошенничеству с участием живого оператора.
  • Механизм самовозобновления. Архитектура SCMBANKER предусматривает обновление и расширение функциональности без переустановки и потери закрепления в системе.

Искусственный интеллект на службе киберпреступников

Анализ скриптов выявил любопытную деталь: многие компоненты создавались с использованием языковых моделей. Об этом свидетельствуют характерные комментарии, неоднородное форматирование и логические несоответствия внутри кода. Очевидно, разработчики активно применяли процесс разработки на основе искусственного интеллекта, ускоряя создание и модификацию вредоносных модулей.

Проколы OPSEC и недооценённая опасность

Несмотря на продуманные техники, операция REF6045 не лишена серьёзных оперативных ошибок. Исследователи обнаружили открытые серверные директории и панель редактирования без какой-либо аутентификации, что позволило заглянуть в инфраструктуру атакующих. Тем не менее, даже такая, казалось бы, примитивная конструкция демонстрирует высокую результативность в сборе конфиденциальных данных и компрометации частных лиц.

Совокупность агрессивной социальной инженерии, вредоносного скриптинга и адаптивного инструментария превращает REF6045 в значимую угрозу для мексиканского финансового сектора. Широкий спектр техник — от поддельных CAPTCHA до полноценного vishing — говорит о том, что злоумышленники готовы использовать весь доступный арсенал для достижения своих целей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: