REF6045として追跡されているメキシコの銀行詐欺キャンペーンが、金融データ窃取において極めて手動色の強い手法を採用していることが分かりました。
自動化されたスクリプトに頼るのではなく、人間のオペレーターがSCMBANKERというPowerShellツールキットを使い、感染したマシンを積極的に監視するのです。攻撃は偽のCAPTCHAページから始まり、被害者を騙して悪意あるコマンドをコピー&ペーストさせます。
インストールが完了すると、オペレーターは銀行取引セッションの傍受、偽の警告表示による画面ロック、クリップボードの操作、さらには商用リモートアクセスツールの展開まで、幅広い制御権を手に入れます。
感染チェーンはClickFixという手口から始まります。被害者はセキュリティ確認を装った偽ページに誘導され、多くの場合スペイン語で画像認証の完了を求められます。
このページは、特定のコマンドをWindowsの「ファイル名を指定して実行」ダイアログに貼り付けるよう指示します。このコマンドを実行すると、テキストファイルに偽装された隠しWindowsバッチスクリプトが起動します。
インストール中に時間を稼ぐため、このスクリプトはMicrosoft Edgeをフルスクリーンのキオスクモードで起動し、偽のWindows Update画面を表示します。
さらに、ユーザーの妨害を防ぐためにマウスカーソルを1ピクセルの範囲に閉じ込めます。裏側では、マルウェアがWindows標準のバックグラウンド転送ツールを使い、SCMBANKERツールキットを分割してダウンロードします。
SCMBANKERが深刻な脅威であるにもかかわらず、REF6045のオペレーターたちの運用セキュリティとコーディング水準は意外なほど低いことが判明しています。
研究者らは、このマルウェアを支えるインフラが完全に無防備な状態で放置されていることを発見しました。攻撃者はディレクトリ一覧表示を有効にしたままにしており、誰でも生のPowerShellスクリプトをダウンロードできる状態でした。
さらに悪いことに、彼らのコマンド&コントロール(C2)サーバーには認証機能のないファイルエディタが存在しており、稼働中のターゲティング設定ファイルが完全に無防備な状態でした。
Elasticによると、SCMBANKERのソースコードを分析した結果、人工知能への依存が色濃く表れているといいます。スクリプトには大規模言語モデルによる生成であることを示す特徴が明確に見られ、脅威アクターがスペイン語でプロンプトを与えて生成させたとみられます。
コードには各セクションを区切る、整然とした構造のバナーコメントが特徴的に見られます。整った関数名が、手作業で短縮された変数名や生成時の名残と唐突に混在しているのです。
Base64エンコードされたAPI名の直後に、デコードすると何になるかを正確に説明するコメントが並んでいます。特定のモジュールには過激な罵り言葉も見られ、機微なツールに対するAIの安全フィルターを回避する目的で使われたとみられます。
この事例は、脅威の潮流における一つの傾向の高まりを浮き彫りにしています。それは、技術力の乏しいアクターがAIアシスタントを使い、機能する多段階のマルウェアを生成しているという実態です。
REF6045は粗雑なインフラとコピー&ペーストされたコードに依存しているものの、人間主導のアプローチとSCMBANKERの侵襲性の高いツール群が組み合わさることで、極めて効果的な銀行詐欺キャンペーンとなっています。
Note: IP addresses and domains are intentionally defanged (e.g., [.]) to prevent accidental resolution or hyperlinking. Re-fang only within controlled threat intelligence platforms such as MISP, VirusTotal, or your SIEM.
翻訳元: https://cyberpress.org/clickfix-powers-mexican-fraud/