El malware SCMBANKER utiliza señuelos ClickFix para atacar a los usuarios de la banca mexicana

Una nueva operación bancaria fraudulenta está dirigida a clientes de bancos, fintech, procesadores de pagos e intercambios de criptomonedas mexicanos que utilizan señuelos ClickFix.

El grupo de actividades, rastreado por Elastic Security Labs bajo el nombre REF6045implica infectar a las víctimas a través de páginas de verificación CAPTCHA falsas que las engañan para que ejecuten un comando malicioso que instala un kit de herramientas PowerShell denominado SCMBANKER. Algunos componentes del malware se remontan a octubre de 2025.

«Una vez instalado, el operador puede ver cuándo una víctima abre una sesión bancaria, bloquear la pantalla detrás de una advertencia bancaria falsa, empujar a las víctimas a una interacción telefónica en vivo, redirigir el navegador o reemplazar los números de cuenta copiados en el portapapeles», afirman los investigadores de seguridad Jia Yu Chan y Salim Bitam. dicho. «Para una adquisición total, también pueden implementar una herramienta comercial de acceso remoto».

SCMBANKER está diseñado específicamente para atacar el ecosistema financiero de México, y la evidencia apunta al uso de un modelo de lenguaje grande (LLM) para desarrollar una gran parte de las herramientas. El kit de herramientas admite una amplia gama de capacidades, que incluyen monitoreo de sesiones bancarias, captura de pantalla, superposiciones de vishing, redireccionamientos de phishing, manipulación del portapapeles e instalación de utilidades remotas.

Los hallazgos de Elastic surgen de una falla de seguridad operativa en la infraestructura REF6045, que hizo posible recuperar un archivo ZIP que contiene el directorio raíz web completo de la operación desde un directorio abierto ubicado en «68.211.161[.]46.»

Ciberseguridad

El punto de partida es una verificación CAPTCHA falsa que se disfraza como una página de verificación de seguridad, instando a las víctimas potenciales a resolver un desafío similar a Google reCAPTCHA para identificar imágenes que contienen una boca de incendio. Una vez que se completa el paso, se les presentan instrucciones para copiar y pegar un comando malicioso en el cuadro de diálogo Ejecutar de Windows.

Esto, a su vez, desencadena la ejecución de un script por lotes que es responsable de instalar el malware a través de un proceso de varias etapas, comenzando con una pantalla de actualización de Windows falsa.

«El script por lotes inicia inmediatamente Microsoft Edge en modo quiosco y apunta a una actualización falsa[.]net, un conocido sitio de pentesting/red team que muestra una pantalla falsa de Windows Update», dijo Elastic. «Esta distracción gana tiempo para que el script se ejecute completamente».

En la siguiente etapa, el script verifica si se está ejecutando como administrador y, si no, inicia un mensaje de Control de cuentas de usuario (UAC) de Windows cada 20 segundos, empujando efectivamente a la víctima a hacer clic en «Sí» en el cuadro de diálogo de consentimiento. Tan pronto como obtiene privilegios elevados, bloquea el movimiento del mouse. Este comportamiento, combinado con la pantalla falsa de actualización de Windows, obliga a la víctima a quedarse, dándole al malware tiempo suficiente para descargar el conjunto completo de herramientas en segundo plano utilizando el administrador de bits herramienta desde el mismo directorio.

Después de descargar los componentes de SCMBANKER en el host comprometido, configura la persistencia usando la carpeta de Inicio de Windows y una clave de Ejecución del Registro, después de lo cual envía mediante programación un evento de pulsación de tecla F11 para salir de la pantalla completa e inicia una secuencia de pulsación de tecla «Ctrl+W» para cerrar la pestaña falsa de actualización de Windows.

«Sin embargo, este enfoque sólo funciona en una ventana de navegador estándar de pantalla completa, no en modo quiosco», dijo Elastic. «Luego fuerza un reinicio con el comando de apagado /r /t 02 y cambia. Al reiniciar, el mecanismo de persistencia anterior a través de la tecla Ejecutar del Registro activa la ejecución del archivo VBScript ('run.vbs')».

El script de Visual Basic sirve como iniciador maestro para ejecutar varios módulos en paralelo:

  • edifhjwe.ps1, para actualización automática del kit de herramientas
  • cliente.ps1, para baliza de comando y control (C2) y control de implantes
  • avs.ps1, para descargar el instalador RAT de Remote Utilities para facilitar el acceso práctico a la máquina de la víctima
  • clip.ps1 y clip2.ps1, para número de cuenta CLABE y número de tarjeta, secuestro del portapapeles para redirigir transacciones
  • correr.ps1, para ejecución arbitraria de PowerShell
  • ini.ps1, un iniciador de «jujuzkt.ps1», un monitor de actividad bancaria que comprueba todos los títulos de ventanas visibles cada segundo en busca de coincidencias contra una lista de instituciones financieras mexicanas y, si se encuentra una coincidencia, toma capturas de pantalla y registra las pulsaciones de teclas
  • rotor2.ps1, un contenedor para «mensaje1.ps1», un motor de vishing que ofrece superposiciones falsas con advertencias de seguridad que indican a las víctimas que llamen a ciertos números de teléfono.
  • remo.ps1, un iniciador controlado por dirección IP para «jujuzkt2.ps1», un redirector de navegador que coincide con los títulos de las ventanas contra una listay, si hay una URL configurada, coloca una URL de phishing en el portapapeles, crea el navegador y envía una serie de eventos de pulsación de teclas (Ctrl+L, Ctrl+V e Intro) para llevar a la víctima a la página de inicio de phishing.

Uno de esos destinos de redireccionamiento, «'bancaporinternetbbmx[.]online», contiene un script de notificación de Telegram de carga de página que recopila detalles del navegador, del dispositivo y de la dirección IP, y envía la información a un chat de Telegram, alertando al operador que una víctima redirigida ha alcanzado el atractivo para ataques posteriores.

Ciberseguridad

«Los guiones muestran fuertes signos de ayuda de la IA, muy probablemente al generar un modelo de lenguaje grande en español y luego aplicar ofuscación manual», dijo Elastic.

«El código tiene una personalidad dividida, con nombres de funciones limpios y descriptivos y comentarios explicativos intensos junto a variables acortadas a mano y artefactos de generación sobrantes. La ubicación de comentarios similares a instrucciones directamente encima del código que describen sugiere que los autores han solicitado un asistente de codificación en línea como Copilot o Cursor».

En conjunto, los hallazgos representan el trabajo de un actor de amenazas que se ha apoyado en la IA para ensamblar un tosco conjunto de herramientas que se caracteriza mejor por copiar y pegar archivos por lotes, mala artesanía y fallas de seguridad operativa.

«Las víctimas se mantienen como una fuente pasiva mientras el operador observa un panel en vivo y ataca solo a los objetivos que valen la pena, activando redireccionamientos del navegador, bloqueos de vishing, intercambios de portapapeles o un RAT completo por IP, a pedido», concluyeron los investigadores. «Por más crudo que sea, SCMBANKER ya tiene víctimas reales. El contador de víctimas en vivo y las máquinas etiquetadas en los paneles del propio operador muestran que personas individuales están siendo atacadas activamente».

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *