這是一起針對墨西哥金融生態系(包含銀行、金融科技公司與加密貨幣交易所)的精準攻擊行動。這次攻擊的核心在於一套名為 SCMBANKER 的 PowerShell 工具集,其攻擊路徑結合了心理操縱、系統權限獲取以及高度模組化的後端控制。
對於工程師來說,這起案例最值得關注的不是它的技術複雜度,而是它如何利用 AI 快速開發工具,以及如何透過簡單的社交工程繞過傳統的安全防護。
攻擊的起點:ClickFix 與偽裝驗證
攻擊者使用了所謂的 ClickFix 誘餌。這是一種新型的社交工程手法,會向使用者展示一個偽造的 Google reCAPTCHA 驗證頁面(例如要求使用者點擊包含消防栓的圖片)。
當使用者完成驗證後,頁面不會跳轉到目標網站,而是給出一組指令,要求使用者將一段惡意指令複製並貼上到 Windows 的 Run(執行)對話框中。這種方式極其危險,因為它讓使用者主動在系統中執行指令,直接繞過了瀏覽器的沙箱保護。
權限獲取與心理博弈
一旦指令被執行,系統會啟動一個批次檔(Batch Script),其運作邏輯展現了對使用者心理的精準掌握:
首先,它會啟動 Microsoft Edge 的 Kiosk Mode(展覽模式,一種全螢幕且限制功能的瀏覽器模式),並導向一個偽造的 Windows Update 更新畫面。這個畫面的目的只有一個:拖延時間,讓使用者以為電腦正在更新,而不會懷疑背景正在進行的惡意操作。
其次,腳本會檢查是否擁有管理員權限。如果沒有,它會每隔 20 秒彈出一次 UAC(使用者帳戶控制)權限請求視窗。這種高頻率的干擾會讓使用者感到煩躁,進而傾向於直接點擊「是」來讓視窗消失,從而將管理員權限拱手讓給惡意軟體。
獲權後,它甚至會暫時鎖定滑鼠移動,確保使用者在背景下載完整工具集(透過 bitsadmin 工具)時無法干預。
SCMBANKER 的模組化功能
SCMBANKER 並非單一程式,而是一組功能分明的 PowerShell 腳本,透過一個 VBScript 主啟動器平行運行。其核心功能包括:
監控與攔截:它會每秒掃描一次所有視窗標題,一旦發現使用者開啟了墨西哥金融機構的網頁或應用程式,立即啟動截圖與鍵盤記錄(Keylogging)。
剪貼簿劫持(Clipboard Hijacking):當使用者複製銀行帳號(如墨西哥的 CLABE 帳號)或卡號時,惡意軟體會即時將其替換為攻擊者的帳號,導致使用者在不知情的情況下將錢轉給歹徒。
偽造覆蓋層(Vishing Overlays):在使用者操作銀行介面時,突然彈出一個偽造的安全性警告畫面,指示使用者撥打特定的電話號碼。這將網路攻擊轉向 Vishing(語音釣魚),由真人操作員誘導受害者交出驗證碼。
遠端控制:若目標價值夠高,攻擊者會部署商業化的遠端存取工具(Remote Access Tool, RAT),直接接管整台電腦。
AI 在惡意軟體開發中的角色
安全研究人員發現,SCMBANKER 的程式碼具有強烈的 AI 生成特徵。程式碼呈現出一種分裂的狀態:一方面有非常清晰、描述詳盡的函數名稱與註釋(像是 Copilot 或 Cursor 等 AI 助手生成的風格);另一方面卻混合了手動混淆的短變數名。
這顯示攻擊者並非頂尖的程式設計師,而是利用 LLM(大型語言模型)快速生成功能模組,再進行簡單的拼接與混淆。這大幅降低了開發惡意軟體的門檻,讓攻擊者能以極低成本快速迭代工具。
實務啟示與防禦建議
這次攻擊證明了,即便程式碼品質粗糙(甚至存在導致研究人員發現其伺服器的配置錯誤),只要社交工程設計得當,依然能造成嚴重損害。
對於開發者與維運人員,應意識到: 絕對不要在 Run 對話框或終端機中執行任何來源不明的指令。 提高對 UAC 異常彈窗的警覺心。 企業應強化端點偵測(EDR),監控異常的 PowerShell 行為,尤其是那些嘗試修改剪貼簿或頻繁掃描視窗標題的程序。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。