Een nieuwe frauduleuze bankoperatie richt zich op klanten van Mexicaanse banken, fintech, betalingsverwerkers en cryptocurrency-uitwisselingen met behulp van ClickFix-lokmiddelen.
Het activiteitencluster, gevolgd door Elastic Security Labs onder de naam REF6045omvat het infecteren van slachtoffers via valse CAPTCHA-verificatiepagina’s die hen misleiden om een kwaadaardige opdracht uit te voeren die een PowerShell-toolkit installeert genaamd SCMBANKER. Sommige onderdelen van de malware dateren van oktober 2025.
“Eenmaal geïnstalleerd kan de operator zien wanneer een slachtoffer een banksessie opent, het scherm achter een valse bankwaarschuwing vergrendelen, de slachtoffers naar live telefooninteractie duwen, de browser omleiden of rekeningnummers vervangen die naar het klembord zijn gekopieerd”, aldus beveiligingsonderzoekers Jia Yu Chan en Salim Bitam. “Voor een volledige overname kunnen ze ook een commerciële remote-access tool inzetten.”
SCMBANKER is specifiek ontworpen om achter het Mexicaanse financiële ecosysteem aan te gaan, waarbij bewijsmateriaal wijst op het gebruik van een groot taalmodel (LLM) om een groot deel van de tooling te ontwikkelen. De toolkit ondersteunt een breed scala aan mogelijkheden, waaronder het monitoren van banksessies, het vastleggen van screenshots, vishing-overlays, phishing-omleidingen, manipulatie van het klembord en de installatie van Remote Utilities.
De bevindingen van Elastic komen voort uit een operationele beveiligingsfout in de REF6045-infrastructuur, waardoor het mogelijk werd om een ZIP-archief met de volledige webhoofdmap van de operatie op te halen uit een open map op “68.211.161(.)46.”
Het startpunt is een valse CAPTCHA-controle die zichzelf vermomt als een beveiligingsverificatiepagina en potentiële slachtoffers aanspoort een Google reCAPTCHA-achtige uitdaging op te lossen om afbeeldingen te identificeren die een brandkraan bevatten. Zodra de stap is voltooid, krijgen ze instructies te zien om een kwaadaardige opdracht te kopiëren en in het Windows Run-dialoogvenster te plakken.
Dit activeert op zijn beurt de uitvoering van een batchscript dat verantwoordelijk is voor het installeren van de malware via een proces dat uit meerdere fasen bestaat, te beginnen met een nep Windows-updatescherm.
“Het batchscript start Microsoft Edge onmiddellijk in de kioskmodus en verwijst naar fakeupdate(.)net, een bekende pentesting/red-teamsite die een nep Windows Update-scherm weergeeft”, aldus Elastic. “Deze afleiding geeft tijd om het script volledig uit te voeren.”

In de volgende fase controleert het script of het als admin wordt uitgevoerd, en als dat niet het geval is, wordt er elke 20 seconden een Windows User Account Control (UAC)-prompt gestart, waardoor het slachtoffer effectief wordt aangespoord om op “Ja” te klikken in het toestemmingsvenster. Zodra het verhoogde rechten krijgt, vergrendelt het de muisbeweging. Dit gedrag, gecombineerd met het nep-Windows-updatescherm, dwingt het slachtoffer om te blijven, waardoor de malware ruimschoots de tijd krijgt om de volledige toolset op de achtergrond te downloaden met behulp van de bitsadmin-tool uit dezelfde map.
Nadat SCMBANKER-componenten naar de besmette host zijn gedownload, wordt persistentie ingesteld met behulp van de Windows Opstartmap en een Registry Run-toets, waarna het programmatisch een F11-toetsaanslaggebeurtenis verzendt om het volledige scherm af te sluiten en een “Ctrl+W”-toetsaanslagreeks te initiëren om het valse Windows-updatetabblad te sluiten.
“Deze aanpak werkt echter alleen in een standaard browservenster op volledig scherm, niet in kioskmodus”, aldus Elastic. “Vervolgens wordt een herstart geforceerd met de opdracht shutdown /r /t 02 en schakelaars. Bij het opnieuw opstarten activeert het vorige persistentiemechanisme via de Registry Run-sleutel de uitvoering van het VBScript-bestand (‘run.vbs’).”
Het Visual Basic Script dient als een master launcher om verschillende modules parallel uit te voeren –
- edifhjwe.ps1, voor zelfupdate van de toolkit
- cliente.ps1, voor command-and-control (C2) baken- en implantaatcontrole
- avs.ps1, voor het downloaden van het Remote Utilities RAT-installatieprogramma om praktische toegang tot de machine van een slachtoffer te vergemakkelijken
- clip.ps1 en clip2.ps1, voor CLABE-rekeningnummer en kaartnummer, klembordkaping om transacties om te leiden
- correr.ps1, voor willekeurige PowerShell-uitvoering
- ini.ps1, een launcher voor “jujuzkt.ps1”, een monitor voor bankactiviteiten die elke seconde alle zichtbare venstertitels controleert op overeenkomsten met een lijst van Mexicaanse financiële instellingen en, als er een overeenkomst wordt gevonden, schermafbeeldingen maakt en toetsaanslagen registreert
- rotor2.ps1, een wrapper voor “mensaje1.ps1”, een vishing-engine die nep-overlays met beveiligingswaarschuwingen weergeeft waarin slachtoffers worden geïnstrueerd bepaalde telefoonnummers te bellen
- remo.ps1, een IP-adres-gated launcher voor “jujuzkt2.ps1”, een browserredirector die venstertitels vergelijkt met een lijst, en als er een geconfigureerde URL aanwezig is, een phishing-URL op het klembord plaatst, de browser maakt en een reeks toetsdrukgebeurtenissen verzendt (Ctrl+L, Ctrl+V en Enter) om het slachtoffer naar de phishing-bestemmingspagina te brengen
Eén zo’n omleidingsbestemming, “‘bancaporinternetbbmx(.)online”, bevat een Telegram-meldingsscript voor het laden van pagina’s dat browser-, apparaat- en IP-adresgegevens verzamelt en de informatie naar een Telegram-chat verzendt, waardoor de operator wordt gewaarschuwd dat een omgeleid slachtoffer de lokroep voor vervolgaanvallen heeft bereikt.
“De scripts vertonen sterke tekenen van AI-ondersteuning, hoogstwaarschijnlijk door een groot taalmodel in het Spaans aan te zetten en daarna handmatige verduistering toe te passen”, aldus Elastic.
“De code heeft een gespleten persoonlijkheid, met duidelijke, beschrijvende functienamen en zware verklarende commentaren naast met de hand ingekorte variabelen en overgebleven generatie-artefacten. De plaatsing van instructie-achtige commentaren direct boven de code die ze beschrijven suggereert dat de auteurs een inline coderingsassistent zoals Copilot of Cursor hebben gevraagd.”
Alles bij elkaar vertegenwoordigen de bevindingen het werk van een bedreigingsacteur die op AI heeft geleund om een ruwe toolset samen te stellen die het best wordt gekenmerkt door batchbestanden kopiëren en plakken, slordig vakmanschap en tekortkomingen in de operationele beveiliging.
“Slachtoffers worden als passieve feed bewaard terwijl de operator een live dashboard bekijkt en alleen de doelen aanspreekt die de moeite waard zijn, door browseromleidingen in te schakelen, lockdowns, klembordwissels of een volledige RAT via IP te bekijken, op aanvraag”, concludeerden de onderzoekers. “Hoe grof het ook is, SCMBANKER heeft al echte slachtoffers. De live slachtofferteller en de gelabelde, getagde machines op de eigen panelen van de operator laten zien dat individuele mensen actief het doelwit zijn.”