SCMBANKER Malware Uses ClickFix Lures to Target Mexican Banking Users
Mis à jour :
Menace bancaire SCMBANKER : L’automatisation par IA au service de la fraude au Mexique
Le groupe cybercriminel REF6045 déploie la trousse d’outils SCMBANKER pour cibler les utilisateurs de services financiers au Mexique. Cette campagne repose sur des leurres de type « ClickFix », utilisant l’IA générative pour concevoir des scripts complexes et des scénarios de fraude sophistiqués.
Points clés
- Vecteur d’attaque : De fausses pages CAPTCHA incitent les victimes à copier-coller une commande malveillante dans la fenêtre « Exécuter » de Windows.
- Mode opératoire : Utilisation d’un faux écran de mise à jour Windows pour masquer l’installation du malware. Le script force l’élévation des privilèges (UAC) et verrouille l’interface utilisateur pour gagner du temps.
- Fonctionnalités : Surveillance des sessions bancaires, capture d’écran, détournement du presse-papiers (substitution de numéros de compte/cartes), vishing (hameçonnage vocal), redirections vers des sites de phishing et déploiement d’outils d’accès distant (RAT).
- Empreinte de l’IA : Le code présente des signatures typiques d’une assistance par IA (Copilot/Cursor), avec des commentaires explicatifs détaillés contrastant avec une obfuscation manuelle sommaire.
Vulnérabilités exploitées
L’attaque ne repose pas sur une faille « zero-day » logicielle, mais sur l’exploitation de l’ingénierie sociale et la manipulation des fonctionnalités natives de Windows :
- Abus de
bitsadmin: Utilisation de l’outil système légitime pour télécharger des composants malveillants. - Manipulation de l’UAC : Sollicitations répétées jusqu’à l’obtention du consentement de l’utilisateur.
- Persistance Windows : Utilisation du dossier de démarrage et des clés de registre
Run.
Recommandations
- Sensibilisation : Éduquer les utilisateurs sur les dangers de copier-coller des commandes provenant de sites web, même si ceux-ci simulent des outils de sécurité comme des CAPTCHA.
- Contrôle des privilèges : Restreindre les droits d’administration sur les postes de travail pour empêcher l’exécution de scripts non autorisés.
- Surveillance réseau : Bloquer ou surveiller les connexions vers les domaines suspects et les outils de téléchargement système (
bitsadmin) lorsqu’ils sont initiés par des processus non-système. - Protection des endpoints : Déployer des solutions EDR capables de détecter des comportements anormaux, tels que des tentatives répétées d’élévation de privilèges ou des manipulations suspectes du presse-papiers.
