Как мексиканских банковских клиентов обманывают через фальшивую капчу и заставляют самих запускать вирус

Исследователи из Elastic Security Labs — Джиа Ю Чан и Салим Битам — обнаружили кампанию, нацеленную на клиентов мексиканских банков, финтех-компаний, платёжных систем и криптобирж. Инструментарий получил название SCMBANKER, а сам кластер активности зафиксирован под кодовым обозначением REF6045. Часть компонентов вредоноса датируется октябрём 2025 года, что указывает на достаточно свежую и всё ещё развивающуюся операцию.
Схема заражения строится вокруг техники ClickFix — она давно используется разными группировками, но здесь доведена до отдельного локализованного сценария. Жертва попадает на страницу с якобы проверкой безопасности, где нужно пройти capture-тест, похожий на Google reCAPTCHA — например, найти на картинках пожарный гидрант. После успешного прохождения человеку показывают инструкцию: скопировать команду и вставить её в диалоговое окно «Выполнить» Windows. Именно эта копипаста и запускает batch-скрипт, с которого начинается цепочка заражения.
Дальше начинается многоступенчатый процесс, рассчитанный именно на невнимательность и спешку пользователя. Сначала на экране открывается Microsoft Edge в режиме киоска с адресом fakeupdate[.]net — известным сайтом, который обычно применяют пентестеры для имитации обновления Windows. Пока жертва смотрит на фейковый экран установки апдейта, скрипт в фоне проверяет права администратора. Если прав нет, каждые 20 секунд появляется запрос UAC — расчёт простой: человеку надоедает окно, и рано или поздно он нажимает «Да».
После получения повышенных привилегий скрипт блокирует движение мыши, правда это работает только в обычном полноэкранном режиме браузера, а не в режиме киоска — деталь, которая скорее выдаёт не самый аккуратный код, чем продуманный замысел. Через bitsadmin в фоне подгружается полный набор инструментов из той же директории, затем выполняется команда shutdown /r /t 02 — принудительная перезагрузка. Закрепление в системе обеспечивает ключ автозапуска в реестре, который при следующем включении компьютера запускает run.vbs.
Именно run.vbs можно назвать дирижёром всей атаки — этот VBScript параллельно запускает целый набор PowerShell-модулей. edifhjwe.ps1 отвечает за самообновление инструментария. cliente.ps1 держит связь с командным сервером и управляет имплантом. avs.ps1 скачивает установщик Remote Utilities — легальной коммерческой программы удалённого доступа, которую здесь используют как RAT для ручного управления заражённой машиной. clip.ps1 и clip2.ps1 занимаются перехватом буфера обмена: они ищут номера CLABE (мексиканский аналог номера банковского счёта) и номера карт, подменяя их на реквизиты злоумышленников. correr.ps1 — модуль для произвольного выполнения PowerShell-команд. ini.ps1 запускает jujuzkt.ps1, который следит за банковской активностью. rotor2.ps1 оборачивает mensaje1.ps1 — движок для вишинга. remo.ps1 запускает jujuzkt2.ps1, но только при совпадении IP-адреса жертвы с заданным списком — то есть перенаправление браузера включается не для всех подряд, а выборочно.
Механика слежки устроена достаточно просто, но эффективно: jujuzkt.ps1 каждую секунду сверяет заголовки всех открытых окон со списком мексиканских финансовых организаций. Как только находится совпадение, начинается запись — делаются скриншоты и логируются нажатия клавиш. Параллельно mensaje1.ps1 может вывести поверх экрана фальшивое предупреждение о безопасности с номером телефона, по которому жертве настойчиво предлагают позвонить — классический вишинг. А jujuzkt2.ps1 при совпадении заголовка окна помещает в буфер обмена фишинговую ссылку, активирует окно браузера и через эмуляцию нажатий Ctrl+L, Ctrl+V, Enter перенаправляет жертву на поддельную страницу банка. В образцах фигурировал адрес, начинающийся с bancaporinternetbbmx — очевидная имитация страницы интернет-банкинга.
В сумме получается набор возможностей, покрывающий практически весь цикл атаки на банковского клиента: обнаружение открытой сессии в банке, блокировка экрана фейковым предупреждением, подталкивание к звонку оператору мошенников, редирект браузера на фишинг, подмена скопированных реквизитов и, при необходимости, полный удалённый доступ к машине через коммерческий RAT.
Отдельного внимания заслуживает находка Elastic об открытой директории на IP-адресе 68.211.161.46 — там лежал ZIP-архив с полным веб-корнем операции. Это классический провал операционной безопасности: исследователи получили доступ буквально ко всему инструментарию разом, что и позволило разобрать схему настолько подробно.
Анализ кода натолкнул исследователей на мысль об использовании крупной языковой модели при разработке значительной части инструментария, причём промпты, судя по всему, писались на испанском, а затем код вручную обфусцировали. В коде видна своего рода раздвоенность стиля: аккуратные, описательные имена функций и подробные комментарии соседствуют с сокращёнными до предела переменными и явными артефактами генерации. Комментарии-инструкции стоят прямо над тем кодом, который они описывают — по мнению Elastic, это характерно для встроенных ассистентов вроде Copilot или Cursor, а не для ручного написания скриптов с нуля.
При этом сами исследователи характеризуют операторов как группу с грубым, но рабочим инструментарием — копипастные batch-файлы, местами небрежная реализация, ошибки в операционной безопасности вроде той самой открытой директории. Модель работы построена на пассивном наблюдении: жертвы попадают на живую панель оператора, а уже дальше человек вручную решает, кого атаковать активно — включая редирект браузера, блокировку с вишингом, подмену буфера обмена или полное развёртывание RAT. Все эти функции включаются по требованию и привязаны к конкретному IP-адресу жертвы.
Что касается реальных последствий, Elastic подтвердила: у SCMBANKER есть настоящие пострадавшие. На панели оператора виден счётчик активных жертв, а сами заражённые машины подписаны и помечены метками — то есть речь идёт не о тестовом стенде, а о работающей схеме, нацеленной на конкретных людей.


Новое на сайте

Ссылка