SecBoard
Zurück zur Übersicht

SCMBANKER Malware Uses ClickFix Lures to Target Mexican Banking Users

The Hacker News·
Originalartikel lesen bei The Hacker News

Eine neue Betrugswelle namens SCMBANKER zielt auf Kunden mexikanischer Banken, Fintech-Unternehmen und Kryptobörsen ab. Angreifer nutzen gefälschte CAPTCHA-Seiten, um Opfer zur Installation eines schädlichen PowerShell-Toolkits zu verleiten. Betroffene sollten wachsam sein und keine unbekannten Befehle ausführen.

Kurzfassung

Eine neue Betrugswelle namens REF6045 zielt auf Kunden mexikanischer Banken, Fintech-Unternehmen, Zahlungsdienstleister und Kryptobörsen ab. Angreifer nutzen gefälschte CAPTCHA-Seiten, um Opfer zur Installation eines schädlichen PowerShell-Toolkits namens SCMBANKER zu verleiten. Benutzer sollten wachsam sein und keine unbekannten Befehle ausführen.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Kunden mexikanischer Banken, Fintech-Unternehmen, Zahlungsdienstleister und Kryptobörsen.

Warum relevant

Organisationen im Finanzsektor, insbesondere in Mexiko, müssen ihre Kunden vor Phishing-Versuchen warnen, die zur Installation von Malware führen. Die Verwendung von PowerShell-Toolkits kann die Erkennung erschweren und die Persistenz erhöhen.

Realistisches Worst Case

Erfolgreiche Installation des SCMBANKER PowerShell-Toolkits, das zu unautorisierten Transaktionen oder Datenexfiltration führen kann, was finanzielle Verluste für die betroffenen Kunden und Reputationsschäden für die Finanzinstitute zur Folge hat.

Handlungsempfehlung

Informieren Sie Kunden über die Risiken gefälschter CAPTCHA-Seiten und die Gefahr, unbekannte Befehle auszuführen. Überprüfen Sie die Erkennungsmechanismen für PowerShell-basierte Malware und ungewöhnliche Skriptausführungen.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie, ob Ihre E-Mail-Filterlösungen Phishing-E-Mails mit gefälschten CAPTCHA-Links erkennen und blockieren.
  • Validieren Sie, ob Ihre Endpoint Detection and Response (EDR)-Lösungen die Ausführung von unbekannten PowerShell-Skripten oder die Installation von PowerShell-Toolkits erkennen und alarmieren können.
  • Testen Sie die Sensibilisierung Ihrer Benutzer für Phishing-Angriffe, die zur Ausführung von Befehlen auffordern, durch simulierte Phishing-Kampagnen.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1566 PhishingHighVictims are lured by fake CAPTCHA pages
ExecutionT1059.001 Command and Scripting Interpreter: PowerShellHighinstall a PowerShell toolkit called SCMBANKER
Offene Punkte
  • Die spezifischen Funktionen des SCMBANKER PowerShell-Toolkits sind nicht detailliert beschrieben.
  • Die genauen Methoden, wie die gefälschten CAPTCHA-Seiten verbreitet werden (z.B. E-Mail, SMS, Social Media), sind nicht spezifiziert.
  • Es wird nicht erwähnt, welche spezifischen Schwachstellen (CVEs) ausgenutzt werden, falls vorhanden.
  • Die genaue Art der Daten, die von SCMBANKER gestohlen werden könnten, ist nicht spezifiziert.
  • Die Infrastruktur der Angreifer (C2-Server, Domains) ist nicht spezifiziert.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Können wir Resource Development detektieren?
  • Können wir Execution detektieren?

MITRE ATT&CK Kill Chain (3 Techniken)