تستهدف عملية احتيال مصرفية جديدة عملاء البنوك المكسيكية والتكنولوجيا المالية ومعالجات الدفع وبورصات العملات المشفرة باستخدام إغراءات ClickFix.

مجموعة الأنشطة، التي تتبعها Elastic Security Labs تحت الاسم المستعار REF6045، يتضمن إصابة الضحايا من خلال صفحات التحقق CAPTCHA المزيفة التي تخدعهم لتشغيل أمر ضار يقوم بتثبيت مجموعة أدوات PowerShell المدبلجة سمبانكر. يعود تاريخ بعض مكونات البرنامج الضار إلى أكتوبر 2025.

وقال الباحثان الأمنيان جيا يو تشان وسليم بيتام: “بمجرد التثبيت، يمكن للمشغل معرفة متى يفتح الضحية جلسة مصرفية، أو قفل الشاشة خلف تحذير مصرفي مزيف، أو دفع الضحايا نحو التفاعل المباشر عبر الهاتف، أو إعادة توجيه المتصفح، أو استبدال أرقام الحسابات المنسوخة إلى الحافظة”. “للاستحواذ الكامل، يمكنهم أيضًا نشر أداة تجارية للوصول عن بعد.”

تم تصميم SCMBANKER خصيصًا لملاحقة النظام البيئي المالي في المكسيك، مع وجود أدلة تشير إلى استخدام نموذج لغة كبير (LLM) لتطوير جزء كبير من الأدوات. تدعم مجموعة الأدوات مجموعة واسعة من الإمكانات، بما في ذلك مراقبة الجلسات المصرفية، والتقاط لقطات الشاشة، وتراكبات التصيد الاحتيالي، وعمليات إعادة توجيه التصيد الاحتيالي، والتلاعب بالحافظة، وتثبيت الأدوات المساعدة عن بعد.

تنبع النتائج التي توصلت إليها Elastic من ثغرة أمنية تشغيلية في البنية التحتية REF6045، مما جعل من الممكن استرداد أرشيف ZIP يحتوي على دليل جذر الويب الكامل للعملية من دليل مفتوح يقع على “68.211.161”[.]46.”

نقطة البداية هي فحص CAPTCHA مزيف يتنكر في هيئة صفحة تحقق أمني، ويحث الضحايا المحتملين على حل تحدي Google reCAPTCHA المشابه للتعرف على الصور التي تحتوي على صنبور إطفاء الحرائق. بمجرد اكتمال الخطوة، يتم تقديم تعليمات لهم لنسخ ولصق أمر ضار في مربع حوار Windows Run.

وهذا بدوره يؤدي إلى تنفيذ البرنامج النصي الدفعي المسؤول عن تثبيت البرامج الضارة من خلال عملية متعددة المراحل، بدءًا من شاشة تحديث Windows الزائفة.

“يقوم البرنامج النصي الدفعي على الفور بتشغيل Microsoft Edge في وضع الكشك مشيرًا إلى التحديث المزيف[.]net، وهو موقع فريق pentesting/red معروف جيدًا يعرض شاشة Windows Update مزيفة،” قال Elastic. “هذا الإلهاء يشتري الوقت حتى يتم تنفيذ البرنامج النصي بالكامل.”

في المرحلة التالية، يتحقق البرنامج النصي مما إذا كان يعمل كمسؤول، وإذا لم يكن كذلك، يطلق مطالبة التحكم في حساب مستخدم Windows (UAC) كل 20 ثانية، مما يدفع الضحية بشكل فعال نحو النقر فوق “نعم” في مربع حوار الموافقة. بمجرد حصوله على امتيازات مرتفعة، فإنه يقوم بتأمين حركة الماوس. هذا السلوك، جنبًا إلى جنب مع شاشة تحديث Windows المزيفة، يجبر الضحية على البقاء، مما يمنح البرامج الضارة وقتًا كافيًا لتنزيل مجموعة الأدوات الكاملة في الخلفية باستخدام أداة bitsadmin من نفس الدليل.

بعد تنزيل مكونات SCMBANKER على المضيف المخترق، يقوم بإعداد الثبات باستخدام مجلد بدء تشغيل Windows ومفتاح تشغيل التسجيل، وبعد ذلك يرسل برمجيًا حدث ضغط مفتاح F11 للخروج من وضع ملء الشاشة وبدء تسلسل ضغط المفاتيح “Ctrl+W” لإغلاق علامة تبويب تحديث Windows المزيفة.

وقالت Elastic: “ومع ذلك، فإن هذا الأسلوب يعمل فقط في نافذة متصفح قياسية بملء الشاشة، وليس في وضع الكشك”. “ثم يفرض إعادة التشغيل باستخدام أمر إيقاف التشغيل /r /t 02 والتبديل. عند إعادة التشغيل، تؤدي آلية الثبات السابقة عبر مفتاح تشغيل التسجيل إلى تشغيل ملف VBScript (‘run.vbs’).”

يعمل برنامج Visual Basic Script كمشغل رئيسي لتشغيل عدة وحدات بالتوازي –

  • edifhjwe.ps1، للتحديث الذاتي لمجموعة الأدوات
  • Cliente.ps1، لمنارة القيادة والتحكم (C2) والتحكم في الزرع
  • avs.ps1، لتنزيل برنامج تثبيت Remote Utilities RAT لتسهيل الوصول العملي إلى جهاز الضحية
  • clip.ps1 وclip2.ps1، لرقم حساب CLABE ورقم البطاقة، واختطاف الحافظة لإعادة توجيه المعاملات
  • correr.ps1، لتنفيذ PowerShell التعسفي
  • ini.ps1، مشغل لـ “jujuzkt.ps1″، وهو مراقب النشاط المصرفي الذي يتحقق من جميع عناوين النوافذ المرئية كل ثانية بحثًا عن مطابقات ضد قائمة المؤسسات المالية المكسيكية، وإذا تم العثور على تطابق، فإنه يلتقط لقطات شاشة ويسجل ضغطات المفاتيح
  • rotor2.ps1، عبارة عن غلاف لـ “mensaje1.ps1″، وهو محرك تصيد احتيالي يقدم تراكبات زائفة مع تحذيرات أمنية ترشد الضحايا إلى الاتصال بأرقام هواتف معينة
  • remo.ps1، مشغل بوابة IP لـ “jujuzkt2.ps1″، وهو معيد توجيه المتصفح الذي يطابق عناوين النوافذ مع القائمة، وإذا كان عنوان URL الذي تم تكوينه موجودًا، فإنه يضع عنوان URL للتصيد الاحتيالي في الحافظة، ويقوم بتشغيل المتصفح، ويرسل سلسلة من أحداث الضغط على المفاتيح (Ctrl+L، Ctrl+V، وEnter) لنقل الضحية إلى الصفحة المقصودة للتصيد الاحتيالي

إحدى وجهات إعادة التوجيه هذه، “”bancaporinternetbbmx[.]online”، يحتوي على برنامج نصي لإشعارات Telegram لتحميل الصفحة والذي يجمع تفاصيل المتصفح والجهاز وعنوان IP، ويرسل المعلومات إلى دردشة Telegram، لتنبيه المشغل بأن الضحية المعاد توجيهها قد وصلت إلى إغراء الهجمات اللاحقة.

قال Elastic: “تظهر النصوص علامات قوية على مساعدة الذكاء الاصطناعي، على الأرجح من خلال تحفيز نموذج لغة كبير باللغة الإسبانية ثم تطبيق التعتيم اليدوي بعد ذلك”.

“يحتوي الكود على شخصية منقسمة، مع أسماء وظائف وصفية نظيفة وتعليقات توضيحية ثقيلة بجوار المتغيرات المختصرة يدوياً ومخلفات التوليد. إن وضع التعليقات المشابهة للتعليمات مباشرة فوق الكود الذي تصفه يشير إلى أن المؤلفين قد دفعوا إلى مساعد ترميز مضمّن مثل Copilot أو Cursor.”

تمثل النتائج مجتمعة عمل ممثل التهديد الذي اعتمد على الذكاء الاصطناعي لتجميع مجموعة أدوات بدائية تتميز بشكل أفضل بالملفات الدفعية للنسخ واللصق، والحرفية الرديئة، والثغرات الأمنية التشغيلية.

وخلص الباحثون إلى أنه “يتم الاحتفاظ بالضحايا كموجز سلبي بينما يراقب المشغل لوحة التحكم المباشرة ويتعامل فقط مع الأهداف التي تستحق الجهد، أو تشغيل عمليات إعادة توجيه المتصفح، أو عمليات إغلاق التصيد الاحتيالي، أو مبادلات الحافظة، أو RAT الكامل عبر IP، عند الطلب”. “على الرغم من فظاظته، فإن SCMBANKER لديه بالفعل ضحايا حقيقيون. ويظهر عداد الضحايا المباشر والأجهزة الموسومة والموسومة على لوحات المشغل الخاصة أن الأشخاص الأفراد يتم استهدافهم بشكل نشط.”

شاركها.
اترك تعليقاً