Um novo cluster de fraude bancária apelidado de REF6045 pela Elastic Security Labs está mirando clientes de bancos, fintechs, processadoras de pagamento e exchanges de criptomoedas no México, usando iscas ClickFix e um toolkit em PowerShell batizado de SCMBANKER. O kit combina fake CAPTCHA, engenharia social baseada em vishing, hijack de área de transferência e sinais claros de código gerado por LLM para transformar cada infecção em uma tomada de conta bancária ao vivo.
Pesquisadores da Elastic Security Labs divulgaram nesta terça-feira (8) uma análise técnica de uma operação em curso que começa por páginas falsas de verificação CAPTCHA. Quando a vítima clica em “Verificar”, o site instrui a colar um comando no diálogo Executar do Windows — o padrão clássico de ClickFix, que virou epidemia no último ano. O comando dispara um script batch que instala o SCMBANKER, um toolkit modular escrito em PowerShell, com peças que datam de outubro de 2025 e vêm sendo refinadas desde então.
Segundo a Elastic, o kit foi desenhado sob medida para o ecossistema financeiro mexicano: os módulos verificam títulos de janela contra uma lista fixa de bancos, corretoras e exchanges do país e só disparam ações intrusivas quando um alvo confirmado abre uma sessão bancária. É um nível de tunagem que costumava ser exclusivo de operações veteranas como o Grandoreiro ou o Mispadu — mas o SCMBANKER traz uma novidade que preocupa: partes significativas do código mostram assinatura de assistência por modelo de linguagem grande, o famoso “vibe coding” de ameaças.
Os operadores acompanham as vítimas ao vivo em painéis próprios. Quando o alvo entra numa sessão de banco, o painel acende — e o criminoso pode acionar tela de bloqueio com falso aviso do banco, forçar o usuário a ligar para um call center controlado por ele (vishing), redirecionar o browser para uma landing de phishing ou trocar números de conta copiados para o clipboard, um ataque conhecido como clipper. Para tomada total, um RAT comercial é implantado por cima.
A cadeia de infecção é engenhosa e brutalmente eficaz. Depois do ClickFix inicial, o script batch abre o Microsoft Edge em modo quiosque apontando para o domínio fakeupdate[.]net, um clássico de red team que exibe uma tela falsa de atualização do Windows em tela cheia. Essa distração serve para segurar o usuário enquanto o restante do payload é baixado em segundo plano via bitsadmin.
Se o script não estiver rodando com privilégios administrativos, ele dispara um prompt de UAC a cada 20 segundos, empurrando o usuário psicologicamente a clicar em “Sim” só para se livrar do incômodo. Assim que consegue elevação, trava o cursor do mouse — combinado com a tela azul falsa, a vítima efetivamente não tem como interromper a instalação. Persistência é firmada em pasta Startup e chave Run do Registro. Depois de tudo pronto, um F11 sintético fecha o modo quiosque e devolve o Windows aparentemente intacto.
“Uma vez instalado, o operador consegue ver quando a vítima abre uma sessão bancária, travar a tela com um aviso falso de banco, empurrar a vítima para uma ligação ao vivo, redirecionar o browser ou trocar números de conta copiados para o clipboard. Para tomada completa, também podem implantar uma ferramenta comercial de acesso remoto.” — Jia Yu Chan e Salim Bitam, Elastic Security Labs
rotor2.ps1 que sobrepõe alertas de segurança falsos com telefones “urgentes” para a vítima ligar, colocando-a diretamente em contato com o operador.remo.ps1/jujuzkt2.ps1 valida IP, casa títulos de janela, cola URL de phishing no clipboard e simula Ctrl+L, Ctrl+V e Enter para levar o usuário à landing.O SCMBANKER encaixa em três tendências que a Plugged Ninja vem acompanhando ao longo de 2026. Primeiro, o ClickFix consolidou-se como o vetor de infecção mais barato e mais eficaz do momento — não exige zero-day, não exige exploit, transforma o usuário na engrenagem principal. Praticamente todas as famílias relevantes de infostealer e RAT — de Lumma a Latrodectus, passando por AsyncRAT — ganharam variantes ClickFix nos últimos meses.
Segundo, LLMs estão claramente sendo usadas para escrever partes do código malicioso. Os comentários fluídos em espanhol, a estruturação regular dos scripts e certas verbosidades típicas de saída de chatbot indicam que o operador escreveu prompts como “faça um script PowerShell que capture screenshots quando o título da janela contenha X”. Isso baixa dramaticamente a barreira técnica para operações regionalizadas — antes só grupos com R&D próprio conseguiam entregar um kit com essa granularidade.
Terceiro, a América Latina vira alvo prioritário. México, Brasil, Colômbia e Chile aparecem cada vez mais nos briefings da Elastic, Kaspersky, ESET e Trend Micro. O tema não é acadêmico para o Brasil: o playbook do SCMBANKER — falsa CAPTCHA, ClickFix, Kiosk falso, clipper, vishing em português, redirecionador de browser — é diretamente portável para Itaú, Bradesco, Nubank, Caixa e para o Pix. É só questão de trocar a lista de janelas-alvo e o número de telefone do call center.
Fonte: The Hacker News
CISA dá prazo de três dias para agências federais patcharem falhas de RCE em Adobe…
A segunda maior operadora do Japão fecha a apuração forense de um ataque que expôs…
Modelos de raciocinio pensam sozinhos, mas ainda respondem melhor com prompts bem estruturados. Cinco templates…
Anthropic descreve um workspace silencioso dentro do Claude compativel com a Global Workspace Theory. O…
A startup australiana Springboards apresenta Flint, LLM treinado para gerar respostas realmente diferentes. Como funciona…
PL 2338/2023 corre contra o recesso de agosto. Veja o que esta pendente na Camara,…