SCMBANKER: novo trojan bancário em PowerShell mira México com ClickFix e código gerado por IA
Elastic Security Labs revela SCMBANKER, kit modular em PowerShell que usa ClickFix, falsa tela azul, vishing e clipboard hijack para tomar contas de bancos, fintechs e exchanges de cripto no México — com fortes sinais de código escrito por LLM.
Um novo cluster de fraude bancária apelidado de REF6045 pela Elastic Security Labs está mirando clientes de bancos, fintechs, processadoras de pagamento e exchanges de criptomoedas no México, usando iscas ClickFix e um toolkit em PowerShell batizado de SCMBANKER. O kit combina fake CAPTCHA, engenharia social baseada em vishing, hijack de área de transferência e sinais claros de código gerado por LLM para transformar cada infecção em uma tomada de conta bancária ao vivo.
O que aconteceu
Pesquisadores da Elastic Security Labs divulgaram nesta terça-feira (8) uma análise técnica de uma operação em curso que começa por páginas falsas de verificação CAPTCHA. Quando a vítima clica em “Verificar”, o site instrui a colar um comando no diálogo Executar do Windows — o padrão clássico de ClickFix, que virou epidemia no último ano. O comando dispara um script batch que instala o SCMBANKER, um toolkit modular escrito em PowerShell, com peças que datam de outubro de 2025 e vêm sendo refinadas desde então.
Segundo a Elastic, o kit foi desenhado sob medida para o ecossistema financeiro mexicano: os módulos verificam títulos de janela contra uma lista fixa de bancos, corretoras e exchanges do país e só disparam ações intrusivas quando um alvo confirmado abre uma sessão bancária. É um nível de tunagem que costumava ser exclusivo de operações veteranas como o Grandoreiro ou o Mispadu — mas o SCMBANKER traz uma novidade que preocupa: partes significativas do código mostram assinatura de assistência por modelo de linguagem grande, o famoso “vibe coding” de ameaças.
Os operadores acompanham as vítimas ao vivo em painéis próprios. Quando o alvo entra numa sessão de banco, o painel acende — e o criminoso pode acionar tela de bloqueio com falso aviso do banco, forçar o usuário a ligar para um call center controlado por ele (vishing), redirecionar o browser para uma landing de phishing ou trocar números de conta copiados para o clipboard, um ataque conhecido como clipper. Para tomada total, um RAT comercial é implantado por cima.
Como o ataque funciona
A cadeia de infecção é engenhosa e brutalmente eficaz. Depois do ClickFix inicial, o script batch abre o Microsoft Edge em modo quiosque apontando para o domínio fakeupdate[.]net, um clássico de red team que exibe uma tela falsa de atualização do Windows em tela cheia. Essa distração serve para segurar o usuário enquanto o restante do payload é baixado em segundo plano via bitsadmin.
Se o script não estiver rodando com privilégios administrativos, ele dispara um prompt de UAC a cada 20 segundos, empurrando o usuário psicologicamente a clicar em “Sim” só para se livrar do incômodo. Assim que consegue elevação, trava o cursor do mouse — combinado com a tela azul falsa, a vítima efetivamente não tem como interromper a instalação. Persistência é firmada em pasta Startup e chave Run do Registro. Depois de tudo pronto, um F11 sintético fecha o modo quiosque e devolve o Windows aparentemente intacto.
“Uma vez instalado, o operador consegue ver quando a vítima abre uma sessão bancária, travar a tela com um aviso falso de banco, empurrar a vítima para uma ligação ao vivo, redirecionar o browser ou trocar números de conta copiados para o clipboard. Para tomada completa, também podem implantar uma ferramenta comercial de acesso remoto.” — Jia Yu Chan e Salim Bitam, Elastic Security Labs
Os módulos do SCMBANKER
- Screenshot/keylogger — monitora títulos de janelas e, quando encontra um banco da lista, começa a tirar prints e capturar teclas digitadas.
- Vishing engine — script
rotor2.ps1que sobrepõe alertas de segurança falsos com telefones “urgentes” para a vítima ligar, colocando-a diretamente em contato com o operador. - Redirector de browser — o módulo
remo.ps1/jujuzkt2.ps1valida IP, casa títulos de janela, cola URL de phishing no clipboard e simula Ctrl+L, Ctrl+V e Enter para levar o usuário à landing. - Clipboard hijacker — substitui números de conta e chaves Pix copiadas por versões controladas pelo atacante.
- Notificação Telegram — a landing de phishing (bancaporinternetbbmx[.]online) carrega um script que envia dados de browser, dispositivo e IP para um chat Telegram do operador, avisando em tempo real que a isca funcionou.
Análise
O SCMBANKER encaixa em três tendências que a Plugged Ninja vem acompanhando ao longo de 2026. Primeiro, o ClickFix consolidou-se como o vetor de infecção mais barato e mais eficaz do momento — não exige zero-day, não exige exploit, transforma o usuário na engrenagem principal. Praticamente todas as famílias relevantes de infostealer e RAT — de Lumma a Latrodectus, passando por AsyncRAT — ganharam variantes ClickFix nos últimos meses.
Segundo, LLMs estão claramente sendo usadas para escrever partes do código malicioso. Os comentários fluídos em espanhol, a estruturação regular dos scripts e certas verbosidades típicas de saída de chatbot indicam que o operador escreveu prompts como “faça um script PowerShell que capture screenshots quando o título da janela contenha X”. Isso baixa dramaticamente a barreira técnica para operações regionalizadas — antes só grupos com R&D próprio conseguiam entregar um kit com essa granularidade.
Terceiro, a América Latina vira alvo prioritário. México, Brasil, Colômbia e Chile aparecem cada vez mais nos briefings da Elastic, Kaspersky, ESET e Trend Micro. O tema não é acadêmico para o Brasil: o playbook do SCMBANKER — falsa CAPTCHA, ClickFix, Kiosk falso, clipper, vishing em português, redirecionador de browser — é diretamente portável para Itaú, Bradesco, Nubank, Caixa e para o Pix. É só questão de trocar a lista de janelas-alvo e o número de telefone do call center.
Quem está em risco
- Correntistas de bancos que operam via web banking pelo Windows — especialmente PMEs e MEIs, historicamente os alvos preferenciais dos trojans bancários brasileiros.
- Traders e usuários de exchanges de cripto que copiam endereços de carteira para transferências — o clipper é praticamente invisível.
- Equipes de tesouraria e financeiro corporativo, onde uma única infecção pode redirecionar transferências de grande valor.
- Ambientes onde a política permite ao usuário executar comandos no diálogo Executar — ou seja, virtualmente todo endpoint sem AppLocker/WDAC configurado.
Recomendações práticas
- Bloqueie a caixa Executar (Win+R) por GPO para usuários padrão. Se não puder bloquear, restrinja execução de PowerShell não assinado com WDAC/AppLocker.
- Reforce Constrained Language Mode no PowerShell e habilite Script Block Logging + Module Logging encaminhando para SIEM.
- Monitore bitsadmin.exe baixando arquivos para pastas de perfil de usuário — é um sinal clássico de living-off-the-land legítimo virando arma.
- Alerte sobre “verificações CAPTCHA que pedem Win+R” em treinamentos de conscientização. Se você precisa colar um comando para provar que é humano, você já foi comprometido.
- Verifique manualmente qualquer transferência onde o número da conta destino tenha sido copiado do clipboard — clippers são silenciosos por design.
- Detecção de vishing: instrua correntistas a nunca ligar para números apresentados em pop-ups do próprio computador. O banco liga; o banco não pede que você ligue de volta a partir de uma janela do Windows.
- Bloqueie fakeupdate[.]net e domínios similares (updatefake[.]net, windowsupdate-fake[.]com) na sua camada de DNS/proxy — não há uso legítimo.
Fonte: The Hacker News