REF6045として追跡されている、人間が操作するメキシコの銀行詐欺キャンペーンで、独自開発のPowerShellツールキット「SCMBANKER」を使用し、コモディティ化されたクリック詐欺の誘導手口を、オペレーターが介在するアカウント乗っ取りや送金先変更へと発展させている実態が確認されました。
この作戦は、偽のCAPTCHA/認証ページを使ったソーシャルエンジニアリングに依存しており、被害者をだましてWindowsの「ファイル名を指定して実行」ダイアログから単一のコマンドを実行させます。
このコマンドはバッチスクリプトを取得し、複数モジュールから構成されるPowerShell環境を展開します。Elastic Security Labsは、このツールキットをメキシコの金融エコシステムに対する現在進行中の標的型攻撃と結びつけています。
この配信フローは、ClickFix型の手口を再利用したもので、スペイン語で表示されることが多く、見慣れた認証文言を伴う偽のCAPTCHAを使い、curl/cmdのパイプラインをクリップボードにコピーさせ、被害者にそれを貼り付けて実行するよう指示します。
ホストされているvalidation.txtは、6段階で実行されるWindowsバッチスクリプトです。まず偽のWindows Updateのおとり画面を表示してユーザーの注意をそらし、UAC同意疲れを誘発するループで強制的に承認させ、カーソルを1×1ピクセルの領域に閉じ込めて操作を妨害します。
続いて、bitsadminを使ってSCMBANKERの各モジュールをC:\Users\Publicに取得し、Runレジストリキーとスタートアップフォルダのエントリを通じて永続化を確立します。最後に強制再起動を行うことで永続化を完了させ、VBScriptのマスターランチャー(run.vbs)がログオン時にツールキットを起動できるようにします。
可視のウィンドウタイトルをスキャンし、メキシコの銀行、フィンテック企業、決済処理業者、取引所、SAT(税務当局)、通信サービスなどを網羅したリストと照合します。また、銀行セッションが検出されると、デスクトップ画像を頻繁にキャプチャしてアップロードするローテーター/スクリーンショットシステムも備えています。
Elastic Securityの研究者によると、SCMBANKERは一連のオペレーター向けワークフローを提供するモジュール型の詐欺フレームワークです。マシンのプロファイルを送信しオペレーターからのコマンドを受け取るC2ビーコン(cliente.ps1)、そして銀行セッション監視モジュール(jujuzkt.ps1)などで構成されています。
セキュリティコンサルティングサービス
Elasticのテレメトリでは、あるホストが http://68.211.161[.]46/files/ にある公開ディレクトリから、bitsadminを使って不審なPowerShellスクリプト群をダウンロードしている様子が確認されました。
REF6045がSCMBANKER製PowerShellを使用
このスクリプトはF11キー入力を送信してフルスクリーン表示を終了させ、続けてCtrl+Wキーの入力シーケンスで偽のWindows Updateタブを閉じます。
さらに、偽の銀行警告を表示して被害者に実在のオペレーターへの電話を促すオーバーレイ型のビッシング(音声フィッシング)エンジン、フィッシングページへの能動的なブラウザリダイレクト、CLABE口座番号やカード番号を攻撃者が指定した値に書き換えるクリップボードハイジャッカー、そして商用のRemote Utilitiesホストを密かに展開してハンズオンでのアクセス権を得るスクリプトも備えています。
この作戦のC2・配信インフラには、重大な運用上の不備が数多く見つかりました。PS1モジュールを露出させたままの公開ディレクトリ、公開ファイルサーバーから回収された流出済みのWebルートアーカイブ(zkt.zip)、そして認証を必要としないファイルエディターです。このエディターからは、標的リストやリダイレクトのマッピング、アップデートの仕組みまでもが見えてしまう状態でした。
Elasticのテレメトリは、露出したファイルサーバーからのbitsadminダウンロードを捕捉し、一部が削除される前にツールキットとWebルートを回収しました。
複数のClickFix用ホスト名とミラーリングされたファイルホストの存在は、攻撃者が同一のビルダーサーバーおよびC2エンドポイントに紐づく冗長な配信経路を使用していたことを示しています。
技術的な痕跡からは、SCMBANKERが数か月かけて進化してきたことがうかがえます。VirusTotalをたどる調査により、少なくとも2025年10月にまでさかのぼる初期のコンポーネントが発見されました。
これらのスクリプトにはAI支援による開発を示す明確な兆候が見られます。一貫したバナー形式のひな型構造、説明的な関数名とそれに付随する解説コメント、さらに複数のローテーション/キーロガー用ファイルに見られる、生成物特有の下品な言葉を含むインラインコメントなどです。
これらの兆候から、オペレーターがLLMにスペイン語でプロンプトを与え、ツール群の大部分を作成させた後、手作業で難読化と細部の修正を加えることで、完全な自動開発ではないものの高度で保守しやすいスクリプトを作り上げたと考えられます。
REF6045の標的選定と機能は、メキシコの金融セクターにとって特に危険なものとなっています。このツールキットは自動化された偵察行為と、リアルタイムのソーシャルエンジニアリング、さらには完全なリモート乗っ取りの選択肢までを一体化させているためです。
防御側は、クリップボード貼り付けによるRunコマンドの実行、公開ファイルサーバーからのbitsadminダウンロード、Runキーとrun.vbsを併用した永続化、頻繁なスクリーンショットのアップロード動作、そして隠しホストのレジストリブロブや削除されたUninstallStringエントリといったRemote Utilities特有の痕跡など、この特徴的な実行チェーンを監視する必要があります。
2019年当時のSOC向けに書かれたSLAはもう卒業を — 2026年版AI SLAベンダーチェックリストはこちら – 無料の AI SOC SLA ガイドをダウンロード
翻訳元: https://gbhackers.com/ref6045-uses-scmbanker-powershell/