SCMBANKER Bankacılık Truva Atı, ClickFix Taktikleriyle Meksikalı Kullanıcıları Hedef Alıyor Siber Güvenlik

SCMBANKER Bankacılık Truva Atı, ClickFix Taktikleriyle Meksikalı Kullanıcıları Hedef Alıyor

SCMBANKER adlı yeni bir bankacılık truva atı, sahte CAPTCHA sayfaları aracılığıyla Meksikalı kullanıcıları hedef alıyor. Yapay zeka desteğiyle gelişti

Elastic Security Labs araştırmacıları, Meksika bankacılık ekosistemini hedef alan yeni bir siber tehdit keşfetti. REF6045 adı verilen bu operasyon kapsamında, SCMBANKER adlı bir PowerShell araç seti, kullanıcıları sahte CAPTCHA doğrulama sayfaları aracılığıyla enfekte ediyor. Ekim 2025'e kadar uzanan bileşenlere sahip olan bu kötü amaçlı yazılım, Meksika bankaları, fintech şirketleri, ödeme işlemcileri ve kripto para borsalarının müşterilerini hedef alıyor.

SCMBANKER, kurbanların bankacılık oturumlarını izleyebiliyor, ekran görüntüleri alabiliyor, sahte banka uyarıları ekranı kilitleyebiliyor, kullanıcıları canlı telefon görüşmelerine yönlendirebiliyor, tarayıcıyı yönlendirebiliyor ve panodaki hesap numaralarını değiştirebiliyor. Tam bir ele geçirme için, operatörler uzaktan erişim araçları da dağıtabiliyor. Yapay zeka dil modeli (LLM) kullanılarak geliştirilen araç seti, Meksika finansal sistemine özel olarak tasarlanmış.

Saldırı, sahte bir Google reCAPTCHA benzeri doğrulama sayfasıyla başlıyor. Kullanıcılardan yangın musluğu içeren görselleri seçmeleri isteniyor. Bu adım tamamlandıktan sonra, Windows Çalıştır iletişim kutusuna kopyalanıp yapıştırılması gereken kötü amaçlı bir komut sunuluyor. Bu komut, sahte bir Windows güncelleme ekranı gösteren ve Microsoft Edge'i kiosk modunda başlatan bir batch betiğini çalıştırıyor. Bu dikkat dağıtma manevrası, betiğin tam olarak yürütülmesi için zaman kazandırıyor.

Bir sonraki aşamada betik, yönetici yetkileri olup olmadığını kontrol ediyor. Yetki yoksa, 20 saniyede bir Windows Kullanıcı Hesabı Denetimi (UAC) istemi açarak kullanıcıyı 'Evet' demeye zorluyor. Yönetici yetkisi alındığında fare hareketi kilitleniyor. Bu davranış, sahte güncelleme ekranıyla birleşince kullanıcıyı ekran başında tutarak kötü amaçlı yazılımın arka planda bitsadmin aracıyla tüm araç setini indirmesine olanak tanıyor.

Nasıl Önlem Alınmalı?

İndirme tamamlandıktan sonra SCMBANKER, Windows Başlangıç klasörü ve Kayıt Defteri Run anahtarı aracılığıyla kalıcılık sağlıyor. Ardından programlı olarak F11 tuşuna basarak tam ekrandan çıkıp Ctrl+W tuş kombinasyonuyla sahte güncelleme sekmesini kapatıyor. Ancak bu yöntem yalnızca standart tam ekran tarayıcı penceresinde çalışıyor, kiosk modunda çalışmıyor. Son olarak shutdown /r /t 02 komutuyla yeniden başlatma zorunlu kılınıyor. Yeniden başlatmanın ardından, Kayıt Defteri Run anahtarı üzerinden 'run.vbs' VBScript dosyası tetikleniyor.

VBScript, birden fazla modülü paralel olarak çalıştıran bir ana başlatıcı görevi görüyor. Bu modüller arasında araç seti güncellemesi (edifhjwe.ps1), C2 komut ve kontrol (cliente.ps1), Remote Utilities RAT yükleyici (avs.ps1), CLABE hesap ve kart numarası pano hırsızlığı (clip.ps1 ve clip2.ps1), rastgele PowerShell çalıştırma (correr.ps1), bankacılık etkinlik izleyici (ini.ps1), vishing motoru (rotor2.ps1) ve IP adresine göre yönlendirme (remo.ps1) bulunuyor. Her bir modül, belirli bir amaç için tasarlanmış ve Meksika finans kurumları listesine göre çalışıyor.

Elastic Security Labs araştırmacıları, kodun yapay zeka yardımıyla yazıldığına dair güçlü işaretler buldu. Temiz ve açıklayıcı fonksiyon adları ile ağır yorum satırları, el ile kısaltılmış değişkenler ve yapay zeka üretimi kalıntılarla yan yana duruyor. Kodun, Copilot veya Cursor gibi satır içi kodlama asistanları tarafından oluşturulduğu düşünülüyor. Bu bulgular, tehdit aktörünün kaba bir araç seti oluşturmak için yapay zekaya başvurduğunu ancak operasyonel güvenlik zafiyetleri ve özensiz işçilikle karakterize edildiğini gösteriyor.

Uzmanların Görüşleri

Araştırmacılar, 'Kurbanlar pasif bir besleme olarak tutulurken operatör canlı bir gösterge paneli izliyor ve yalnızca çabaya değer hedeflere müdahale ediyor. Tarayıcı yönlendirmeleri, vishing kilitlenmeleri, pano değişimleri veya RAT kurulumu gibi saldırıları talep üzerine etkinleştiriyor. İlkel olsa da, SCMBANKER'ın zaten gerçek kurbanları var' sonucuna vardı. Canlı kurban sayacı ve la'

Kaynak: thehackernews.com

Paylaş: