
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
SCMBANKER to zestaw złośliwych narzędzi zaprojektowanych z myślą o oszustwach finansowych i przejmowaniu aktywności użytkownika związanej z bankowością elektroniczną. Najnowsza opisana kampania koncentruje się na klientach banków, fintechów, operatorów płatności i giełd kryptowalut w Meksyku, wykorzystując technikę ClickFix jako punkt wejścia do infekcji.
ClickFix polega na nakłonieniu ofiary do samodzielnego uruchomienia złośliwego polecenia w systemie Windows. To sprawia, że atak nie opiera się wyłącznie na klasycznym pobraniu pliku, ale na socjotechnice, która nadużywa zaufania użytkownika do pozornie legalnych komunikatów bezpieczeństwa.
W skrócie
Kampania wykorzystuje fałszywe strony weryfikacyjne stylizowane na mechanizmy CAPTCHA lub komunikaty bezpieczeństwa. Użytkownik jest instruowany, aby skopiować i uruchomić komendę, co rozpoczyna wieloetapowy łańcuch infekcji.
- atak wykorzystuje technikę ClickFix,
- malware wdraża kilka modułów PowerShell i VBScript,
- może monitorować aktywność bankową ofiary,
- przechwytuje dane ze schowka i wykonuje zrzuty ekranu,
- wspiera phishing, vishing i zdalne przejęcie kontroli nad systemem.
Kontekst / historia
ClickFix zyskał popularność jako skuteczny element łańcucha infekcji, ponieważ przenosi część odpowiedzialności za uruchomienie ataku na samą ofiarę. Dzięki temu cyberprzestępcy mogą omijać część tradycyjnych mechanizmów ochronnych opartych na analizie plików i znanych wskaźnikach kompromitacji.
W analizowanej operacji badacze powiązali aktywność z klastrem śledzonym jako REF6045. Część komponentów SCMBANKER ma pochodzić co najmniej z października 2025 roku, co wskazuje, że narzędzie było rozwijane przez dłuższy czas i dostosowywane do lokalnego rynku finansowego.
Kampania wpisuje się w szerszy trend specjalizacji zagrożeń bankowych. Zamiast masowych infekcji coraz częściej obserwujemy operacje precyzyjnie dopasowane do konkretnych instytucji, sesji użytkownika i momentu, w którym ofiara loguje się do bankowości elektronicznej.
Analiza techniczna
Łańcuch infekcji zaczyna się od fałszywej strony weryfikacyjnej, która podszywa się pod legalny test bezpieczeństwa. Ofiara otrzymuje instrukcję wykonania działania w oknie „Uruchom” systemu Windows, co prowadzi do uruchomienia złośliwego polecenia.
Po wykonaniu komendy startuje skrypt wsadowy odpowiedzialny za kolejne etapy instalacji. W pierwszej fazie malware wyświetla ekran przypominający aktualizację Windows, aby odwrócić uwagę użytkownika i zyskać czas na pobranie dalszych komponentów.
Następnie zagrożenie sprawdza poziom uprawnień. Jeśli nie ma odpowiednich uprawnień, może wielokrotnie wywoływać monit UAC, próbując skłonić ofiarę do zatwierdzenia podniesienia uprawnień. Po ich uzyskaniu blokowane są wybrane elementy interfejsu, co utrudnia przerwanie procesu.
Do pobierania dodatkowych modułów wykorzystywane są natywne narzędzia systemowe, w tym bitsadmin. To przykład techniki living-off-the-land, w której atakujący używają legalnych komponentów Windows, aby ograniczyć liczbę łatwo wykrywalnych artefaktów.
Malware utrzymuje persystencję poprzez folder autostartu oraz klucz Run w rejestrze. Po zakończeniu instalacji może wymusić restart systemu, aby wznowić działanie po ponownym uruchomieniu w bardziej stabilnym stanie.
Kluczowym elementem zestawu jest VBScript pełniący rolę programu rozruchowego dla równoległych modułów PowerShell. Poszczególne komponenty odpowiadają za różne zadania operacyjne.
- aktualizację zestawu narzędzi,
- komunikację z infrastrukturą dowodzenia i kontroli,
- instalację komercyjnego narzędzia zdalnego dostępu,
- przechwytywanie i podmianę numerów rachunków CLABE oraz numerów kart w schowku,
- wykonywanie poleceń PowerShell,
- monitorowanie aktywności bankowej na podstawie tytułów aktywnych okien,
- wyświetlanie fałszywych komunikatów wspierających vishing,
- przekierowywanie przeglądarki na strony phishingowe.
Moduł monitorujący aktywność porównuje nazwy aktywnych okien z listą podmiotów finansowych powiązanych z rynkiem meksykańskim. Po wykryciu dopasowania może uruchomić zrzuty ekranu i rejestrowanie aktywności użytkownika, aktywując się wtedy, gdy ofiara staje się najbardziej wartościowym celem.
Szczególnie niebezpieczne są dwa scenariusze. Pierwszy to podmiana danych w schowku, w której numer rachunku lub karty zostaje zastąpiony przez wartość kontrolowaną przez przestępców. Drugi to aktywne przekierowanie przeglądarki, które może doprowadzić użytkownika na spreparowaną stronę phishingową bez oczywistego sygnału manipulacji.
Konsekwencje / ryzyko
Ryzyko związane z SCMBANKER jest wysokie, ponieważ kampania łączy socjotechnikę, wykorzystanie legalnych narzędzi systemowych, monitoring sesji bankowej oraz możliwość ręcznej interwencji operatora. Taki model znacząco zwiększa skuteczność przejęcia konta i modyfikacji przebiegu transakcji.
Dla użytkowników indywidualnych oznacza to ryzyko utraty środków, przejęcia kont bankowych, wyłudzenia danych uwierzytelniających oraz dalszych nadużyć po uzyskaniu zdalnego dostępu do urządzenia. Dla instytucji finansowych i fintechów problem jest szerszy, ponieważ kampania może prowadzić do oszustw autoryzowanych przez samych klientów, co komplikuje wykrywanie i obsługę incydentów.
Dodatkowym wyzwaniem jest warunkowe uruchamianie funkcji ataku. Oznacza to, że część aktywności może pozostać niewidoczna w standardowym monitoringu, jeśli użytkownik nie wejdzie w interakcję z konkretną usługą finansową.
Rekomendacje
Organizacje powinny traktować kampanie ClickFix jako pełnoprawny wektor początkowego dostępu. Obrona przed nimi wymaga połączenia kontroli technicznych, monitoringu behawioralnego i edukacji użytkowników.
- wzmacniać ochronę przed nieautoryzowanym uruchamianiem PowerShell, VBScript i skryptów wsadowych,
- monitorować nietypowe użycie bitsadmin, wpisów Run w rejestrze oraz folderów autostartu,
- szkolić użytkowników, by nie uruchamiali poleceń kopiowanych ze stron podszywających się pod CAPTCHA lub komunikaty bezpieczeństwa,
- budować detekcję opartą na zachowaniach zamiast wyłącznie na sygnaturach,
- rozwijać mechanizmy antyfraudowe wykrywające anomalie w sesjach i transakcjach,
- ograniczać możliwość instalacji narzędzi zdalnego dostępu oraz wdrażać EDR z dobrą widocznością procesów potomnych i aktywności PowerShell.
W środowiskach o podwyższonym ryzyku warto również rozważyć ścisłe audytowanie lub blokowanie interpreterów skryptowych tam, gdzie nie są one niezbędne biznesowo.
Podsumowanie
SCMBANKER pokazuje, że współczesne kampanie bankowe coraz rzadziej ograniczają się do zwykłej kradzieży haseł. Coraz częściej celem jest przejęcie całego kontekstu transakcyjnego ofiary, wpływanie na jej decyzje w czasie rzeczywistym i manipulowanie przebiegiem sesji finansowej.
Choć obecna kampania koncentruje się na użytkownikach sektora finansowego w Meksyku, sam model operacyjny można stosunkowo łatwo zaadaptować do innych krajów i instytucji. To oznacza, że obrona musi obejmować jednocześnie edukację użytkowników, telemetrię endpointów i zaawansowaną analitykę antyfraudową.