Meksika Bankacılık Kullanıcılarını Hedef Alan SCMBANKER Kötü Amaçlı Yazılımı: ClickFix Tuzaklarıyla Gelen Tehdit Yazılım

Meksika Bankacılık Kullanıcılarını Hedef Alan SCMBANKER Kötü Amaçlı Yazılımı: ClickFix Tuzaklarıyla Gelen Tehdit

SCMBANKER kötü amaçlı yazılımı, sahte CAPTCHA sayfalarıyla Meksika bankacılık kullanıcılarını hedef alıyor. Yapay zeka ile geliştirilen bu tehdit, fin

Elastic Security Labs araştırmacıları, Meksika bankaları, fintech şirketleri, ödeme işlemcileri ve kripto para borsalarının müşterilerini hedef alan yeni bir bankacılık dolandırıcılığı operasyonunu ortaya çıkardı. REF6045 kod adıyla izlenen bu faaliyet, sahte CAPTCHA doğrulama sayfaları kullanarak kurbanları kandırıp SCMBANKER adlı bir PowerShell araç setini yüklemelerini sağlıyor. Kötü amaçlı yazılımın bazı bileşenlerinin Ekim 2025'e kadar uzandığı belirtiliyor.

SCMBANKER, kurbanın bankacılık oturumunu açtığını algılayarak ekranı sahte bir banka uyarısıyla kilitleyebiliyor, kullanıcıları canlı telefon görüşmelerine yönlendirebiliyor, tarayıcıyı yeniden yönlendirebiliyor veya panoya kopyalanan hesap numaralarını değiştirebiliyor. Tam bir ele geçirme için ticari bir uzaktan erişim aracı da dağıtabiliyor. Araştırmacılar Jia Yu Chan ve Salim Bitam, bu özelliklerin operatörün hedefleri üzerinde tam kontrol sağladığını vurguluyor.

Kötü amaçlı yazılım, özellikle Meksika finansal ekosistemini hedef alacak şekilde tasarlanmış. Büyük bir kısmının büyük dil modelleri (LLM) kullanılarak geliştirildiğine dair kanıtlar bulunuyor. SCMBANKER; bankacılık oturumu izleme, ekran görüntüsü alma, vishing (sesli dolandırıcılık) katmanları, kimlik avı yönlendirmeleri, pano manipülasyonu ve Remote Utilities kurulumu gibi geniş bir yelpazede yetenek sunuyor.

Sonuç ve Değerlendirme

Saldırının başlangıç noktası, sahte bir CAPTCHA kontrolü. Kurbanlar, bir Google reCAPTCHA benzeri zorluğu çözmeye yönlendiriliyor, ardından Windows Çalıştır iletişim kutusuna yapıştırmaları için kötü amaçlı bir komut veriliyor. Bu komut, çok aşamalı bir süreçle kötü amaçlı yazılımı yükleyen bir toplu iş dosyasını çalıştırıyor. İlk aşamada, sahte bir Windows güncelleme ekranı görüntüleniyor ve bu dikkat dağıtma taktiği, arka planda kötü amaçlı yazılımın tam olarak yüklenmesi için zaman kazandırıyor.

Toplu iş dosyası, yönetici yetkileriyle çalışıp çalışmadığını kontrol ediyor; değilse, her 20 saniyede bir Windows Kullanıcı Hesabı Denetimi (UAC) istemi göstererek kurbanı 'Evet' demeye zorluyor. Yönetici yetkileri elde edildiğinde fare hareketini kilitliyor ve sahte güncelleme ekranıyla kurbanın bilgisayar başında kalmasını sağlıyor. Bu sırada bitsadmin aracıyla gerekli dosyalar indiriliyor. Kurulum tamamlandıktan sonra, kötü amaçlı yazılım kalıcılık için Windows Başlangıç klasörü ve Kayıt Defteri çalıştırma anahtarı kullanıyor.

Detaylar ve Etkileri

SCMBANKER modülleri arasında, kendini güncelleme, komuta ve kontrol (C2) sunucusuyla iletişim, Remote Utilities RAT kurulumu, CLABE hesap numarası ve kart numarası pano hırsızlığı, keylogger, ekran görüntüsü alma, vishing motoru ve tarayıcı yönlendirme yer alıyor. Yönlendirme hedeflerinden biri olan 'bancaporinternetbbmx[.]online', Telegram bildirim betiği içeriyor ve kurbanın tarayıcı, cihaz ve IP adresi bilgilerini çalarak operatöre iletiyor.

Elastic araştırmacıları, kodun yapay zeka yardımıyla yazıldığına dair güçlü işaretler buldu. Temiz, açıklayıcı işlev adları ve ağır yorumların yanı sıra el ile kısaltılmış değişkenler ve üretim yapaylıkları, büyük olasılıkla İspanyolca sorulan bir LLM'ye yöneltilen komutların ardından manuel karartma uygulandığını gösteriyor. Araştırmacılar, kodun 'bölünmüş kişilik' sergilediğini belirtiyor.

Gelecekte Ne Bekleniyor?

Sonuç olarak, SCMBANKER, tehdit aktörünün yapay zekaya dayanarak oluşturduğu kaba bir araç seti olarak nitelendiriliyor. Operatör, canlı bir kontrol paneli üzerinden kurbanları izliyor ve yalnızca değerli hedeflere müdahale ediyor. Araştırmacılar, bu kadar kaba olmasına rağmen SCMBANKER'ın gerçek kurbanları olduğunu ve canlı kurban sayacının operasyonun halen aktif olduğunu gösterdiğini vurguluyor. Kullanıcıların, bilinmeyen kaynaklardan gelen CAPTCHA doğrulamalarına karşı dikkatli olmaları ve şüpheli komutları çalıştırmamaları öneriliyor.

Kaynak: thehackernews.com

Paylaş: