Malware SCMBANKER usa iscas ClickFix para atacar usuários de bancos no México
9 de Julho de 2026

Uma nova operação fraudulenta contra o setor bancário está mirando clientes de bancos mexicanos, fintechs, processadores de pagamento e corretoras de criptomoedas por meio de iscas com ClickFix.

O grupo de atividade, acompanhado pela Elastic Security Labs com o nome REF6045, infecta as vítimas com páginas falsas de verificação CAPTCHA que as enganam para executar um comando malicioso.

Esse comando instala um conjunto de ferramentas em PowerShell chamado SCMBANKER.

Alguns componentes do malware datam de outubro de 2025.

“Depois de instalado, o operador consegue ver quando a vítima abre uma sessão bancária, bloquear a tela com um falso alerta do banco, empurrar a vítima para uma interação por telefone em tempo real, redirecionar o navegador ou substituir números de conta copiados para a área de transferência”, disseram os pesquisadores de segurança Jia Yu Chan e Salim Bitam.

“Para assumir o controle total, eles também podem implantar uma ferramenta comercial de acesso remoto.”

O SCMBANKER foi projetado especificamente para atingir o ecossistema financeiro do México, e há indícios de que uma large language model, ou LLM, foi usada para desenvolver grande parte do conjunto de ferramentas.

O kit oferece uma ampla gama de recursos, incluindo monitoramento de sessões bancárias, captura de tela, sobreposições de vishing, redirecionamentos de phishing, manipulação da área de transferência e instalação do Remote Utilities.

As descobertas da Elastic vieram de uma falha de segurança operacional na infraestrutura do REF6045, que permitiu recuperar um arquivo ZIP contendo o diretório raiz completo do site da operação a partir de um diretório aberto localizado em “68.211.161[.]46”.

O ponto de partida é uma falsa verificação CAPTCHA que se disfarça de página de checagem de segurança e orienta a vítima a resolver um desafio semelhante ao Google reCAPTCHA, identificando imagens que contenham um hidrante de incêndio.

Depois dessa etapa, a página apresenta instruções para copiar e colar um comando malicioso na caixa de diálogo Executar do Windows.

Isso dispara a execução de um script em lote responsável por instalar o malware por meio de um processo em várias etapas, que começa com uma falsa tela de atualização do Windows.

“O script em lote abre imediatamente o Microsoft Edge em modo quiosque apontando para fakeupdate[.]net, um site conhecido de pentesting e red team que exibe uma falsa tela de atualização do Windows”, informou a Elastic.

“Essa distração compra tempo para que o script seja totalmente executado.”

Na etapa seguinte, o script verifica se está sendo executado com privilégios de administrador e, se não estiver, exibe um prompt de Controle de Conta de Usuário do Windows, ou UAC, a cada 20 segundos, incentivando a vítima a clicar em “Sim” na janela de consentimento.

Assim que obtém privilégios elevados, ele bloqueia o movimento do mouse.

Esse comportamento, combinado com a falsa tela de atualização do Windows, força a permanência da vítima na página e dá tempo suficiente para o malware baixar o conjunto completo de ferramentas em segundo plano usando a ferramenta bitsadmin, a partir do mesmo diretório.

Depois que os componentes do SCMBANKER são baixados para o host comprometido, o malware estabelece persistência usando a pasta Inicializar do Windows e uma chave Run no Registro.

Em seguida, ele envia programaticamente a tecla F11 para sair da tela cheia e inicia uma sequência de teclas Ctrl+W para fechar a aba falsa de atualização do Windows.

“Mas essa abordagem só funciona em uma janela de navegador padrão em tela cheia, não no modo quiosque”, afirmou a Elastic.

“Então, ele força a reinicialização com o comando shutdown /r /t 02 e alterna os parâmetros.

Após a reinicialização, o mecanismo anterior de persistência por meio da chave Run no Registro aciona a execução do arquivo VBScript (‘run.vbs’).”

O Script Visual Basic funciona como um carregador principal para executar vários módulos em paralelo:

- edifhjwe.ps1, para atualização automática do conjunto de ferramentas
- cliente.ps1, para o beacon de command and control (C2) e controle do implante
- avs.ps1, para baixar o instalador do Remote Utilities RAT e facilitar o acesso manual à máquina da vítima
- clip.ps1 e clip2.ps1, para sequestro da área de transferência com foco em números de conta CLABE e números de cartão, redirecionando transações
- correr.ps1, para execução arbitrária de PowerShell
- ini.ps1, um carregador para “jujuzkt.ps1”, um monitor de atividade bancária que verifica os títulos de todas as janelas visíveis a cada segundo em busca de correspondência com uma lista de instituições financeiras mexicanas e, se encontrar uma, captura telas e registra teclas digitadas
- rotor2.ps1, um invólucro para “mensaje1.ps1”, um mecanismo de vishing que exibe falsas sobreposições com alertas de segurança e instrui a vítima a ligar para determinados números de telefone
- remo.ps1, um carregador com controle por endereço IP para “jujuzkt2.ps1”, um redirecionador de navegador que compara títulos de janelas com uma lista e, se houver uma URL configurada, coloca uma URL de phishing na área de transferência, ativa o navegador e envia uma sequência de teclas, Ctrl+L, Ctrl+V e Enter, para levar a vítima à página de phishing

Um dos destinos de redirecionamento, “bancaporinternetbbmx[.]online”, contém um script de notificação do Telegram no carregamento da página que coleta detalhes do navegador, do dispositivo e do endereço IP e envia essas informações para um chat no Telegram, avisando o operador de que uma vítima redirecionada chegou à isca para ataques subsequentes.

“Os scripts mostram fortes sinais de assistência de IA, muito provavelmente porque foram gerados a partir de prompts em espanhol e depois receberam ofuscação manual”, disse a Elastic.

“O código tem uma dupla personalidade, com nomes de funções limpos e descritivos, além de comentários explicativos extensos, ao lado de variáveis abreviadas à força e vestígios deixados pela geração automática.

A presença de comentários em formato de instrução logo acima do código sugere que os autores usaram um assistente de programação embutido, como Copilot ou Cursor.”

No conjunto, as descobertas apontam para o trabalho de um threat actor que recorreu à IA para montar um kit de ferramentas rudimentar, marcado por scripts em lote copiados e colados, execução descuidada e falhas de segurança operacional.

“As vítimas são mantidas como uma fonte passiva de dados enquanto o operador observa um painel em tempo real e interage apenas com os alvos que valem o esforço, ativando redirecionamentos no navegador, bloqueios de vishing, trocas na área de transferência ou um RAT completo por IP, sob demanda”, concluíram os pesquisadores.

“Por mais rudimentar que seja, o SCMBANKER já tem vítimas reais.

O contador de vítimas ao vivo e as máquinas identificadas com rótulos e etiquetas nos próprios painéis do operador mostram que pessoas individuais estão sendo ativamente alvo.”

Publicidade

Anuncie no CaveiraTech e coloque sua marca na frente de milhares de profissionais de cybersecurity

Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...