Jak usunąć SCMBANKER Trojan z systemu operacyjnego

Trojan

Znany również jako: SCMBANKER malware

Poziom uszkodzenia:

Otrzymaj bezpłatne skanowanie i sprawdź, czy twój komputer jest zainfekowany.

USUŃ TO TERAZ

Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Czym jest trojan SCMBANKER?

SCMBANKER to trojan bankowy stworzony w PowerShell i wymierzony w użytkowników meksykańskich instytucji finansowych. Zgodnie z badaniami przeprowadzonymi przez Elastic Security Labs, jest on częścią aktywnej, wspieranej przez operatorów kampanii oszustw śledzonej pod nazwą REF6045.

Malware jest dostarczane za pośrednictwem fałszywych stron CAPTCHA ClickFix, które nakłaniają ofiary do uruchomienia złośliwego polecenia. Po zainstalowaniu wyświetla fałszywe alerty bezpieczeństwa banku, których celem jest wywołanie u ofiar paniki i skłonienie ich do dzwonienia pod kontrolowane przez atakujących numery telefonów.

SCMBANKER przejmuje również schowek, po cichu zastępując numery kont CLABE oraz numery kart płatniczych alternatywnymi, kontrolowanymi przez atakujących, aby przekierować przelewy bankowe. Komercyjne narzędzie do zdalnego dostępu zainstalowane wraz z malware daje operatorom kontrolę na żywo nad zainfekowaną maszyną.

Złośliwe oprogramowanie SCMBANKER Trojan

Przegląd trojana SCMBANKER

SCMBANKER ma budowę modułową, a każdy skrypt PowerShell odpowiada za odrębną część operacji oszustwa. Jak udokumentowało Elastic Security Labs, kampania opiera się na działającym na żywo panelu operatora, co oznacza, że prawdziwi ludzie monitorują zainfekowane maszyny i wydają polecenia niemal w czasie rzeczywistym.

Złośliwe oprogramowanie wysyła sygnał command and control na serwer atakującego co 30 sekund. Każde zgłoszenie zawiera nazwę maszyny, unikalny identyfikator klienta, lokalny i publiczny adres IP oraz status zainstalowanych komponentów. Operatorzy przesyłają polecenia z powrotem poprzez pliki tekstowe umieszczone na tym samym serwerze.

Podczas instalacji wyświetlany jest fałszywy ekran Windows Update, aby odwrócić uwagę ofiary, podczas gdy zestaw narzędzi złośliwego oprogramowania jest pobierany w tle. Ofiara widzi coś, co wygląda na rutynową aktualizację systemu w toku, co daje złośliwemu oprogramowaniu czas na niezauważone rozgoszczenie się.

Możliwości oszustw bankowych

SCMBANKER nieustannie monitoruje, które okna są otwarte na zainfekowanym komputerze. Gdy wykryje tytuł pasujący do meksykańskiego banku, platformy fintech, procesora płatności, giełdy kryptowalut lub SAT (meksykański organ podatkowy), natychmiast zaczyna szybko przechwytywać zrzuty ekranu.

W tym momencie złośliwe oprogramowanie może wyświetlić w przeglądarce fałszywą stronę zabezpieczeń banku, zaprojektowaną tak, aby wyglądała jak prawdziwe ostrzeżenie od banku ofiary. Strony te powołują się na niejasne problemy z bezpieczeństwem, wyświetlają fałszywy numer referencyjny i nakłaniają ofiarę do zadzwonienia pod numer telefonu kontrolowany przez atakujących.

SCMBANKER może również całkowicie przekierować ofiarę na fałszywy portal bankowy. Umieszcza adres URL wyłudzający dane w schowku, a następnie symuluje naciśnięcia klawiszy, aby otworzyć go w przeglądarce, zastępując prawdziwą stronę bankową bez żadnych widocznych oznak dokonanej zmiany.

Przejmowanie schowka i zdalny dostęp

W tle SCMBANKER monitoruje schowek pod kątem numerów CLABE (18-cyfrowe meksykańskie identyfikatory rozliczeniowe banków) oraz 16-cyfrowych numerów kart płatniczych. Gdy wykryty zostanie którykolwiek z tych formatów, wartość jest po cichu zastępowana alternatywną, wczytaną z pliku konfiguracyjnego na serwerze atakującego.

Zestaw narzędzi instaluje Remote Utilities, legalną komercyjną aplikację do zdalnego dostępu, skonfigurowaną tak, aby po cichu łączyć się z infrastrukturą operatora. Daje to atakującym dostęp do ekranu na żywo, pełną kontrolę nad klawiaturą i myszą oraz możliwość bezpośredniej interakcji z komputerem ofiary.

Złośliwe oprogramowanie zawiera także moduł rejestrowania naciśnięć klawiszy, zdolny do zapisywania wszystkiego, co wpisuje ofiara, i przesyłania tego do kontrolowanego przez atakującego kanału Telegram.

Trwałość i unikanie wykrycia

SCMBANKER wykorzystuje wiele metod, aby przetrwać ponowne uruchomienie. Zapisuje polecenie uruchamiania w kluczu Run rejestru systemu Windows, zapewniając automatyczne uruchamianie przy logowaniu. Plik VBScript jest również kopiowany do folderu Autostart systemu Windows jako zapasowy mechanizm trwałości.

Złośliwe oprogramowanie ukrywa wszystkie swoje pliki, stosując atrybuty ukrytych i systemowych, czyniąc je niewidocznymi w standardowych widokach folderów. Usuwa również wpis dezinstalacji dla komponentu Remote Utilities, aby nie pojawiał się na liście zainstalowanych programów.

Podczas instalacji pętla obchodzenia UAC ponawia próbę co 20 sekund, aż zostanie przyznany dostęp administratora. Złośliwe oprogramowanie na krótko blokuje również kursor myszy w jednym pikselu na ekranie, uniemożliwiając ofierze interakcję z komputerem, podczas gdy zestaw narzędzi jest pobierany w tle.

Podsumowanie zagrożenia:
Nazwa SCMBANKER malware
Typ Zagrożenia Trojan bankowy, Trojan, Clipper, Trojan zdalnego dostępu (RAT)
Nazwy Wykrycia AliCloud (Trojan:Win/Agent.dds), Huorong (HEUR:Trojan/Runner.e), Ikarus (Trojan.VBS.Agent), Kaspersky (Trojan.VBS.Agent.dar), Pełna lista (VirusTotal)
Objawy Trojany bankowe są zaprojektowane tak, aby ukradkiem infiltrować komputer ofiary i pozostawać niezauważone. SCMBANKER może wyświetlać fałszywe strony zabezpieczeń banku, gdy aktywne są witryny bankowe; poza tymi momentami na zainfekowanej maszynie nie widać wyraźnie żadnych szczególnych objawów.
Metody Dystrybucji ClickFix, zwodnicze strony internetowe, socjotechnika.
Szkody Oszustwa bankowe i kradzież pieniędzy, przejmowanie schowka (po cichu zastępowane numery CLABE i dane kart), nieautoryzowany zdalny dostęp do komputera ofiary, kradzież tożsamości, możliwość dodatkowych infekcji złośliwym oprogramowaniem.
Usuwanie malware (Windows)

Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner.

Pobierz Combo Cleaner

Bezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Podsumowanie

Trojan SCMBANKER stanowi bezpośrednie zagrożenie finansowe dla użytkowników meksykańskich usług bankowych. Łącząc fałszywe nakładki bankowe, przejmowanie schowka oraz zdalny dostęp kontrolowany przez operatora, może przechwytywać rzeczywiste przelewy bankowe, przy jednoczesnym całkowitym pozostawianiu ofiary nieświadomej tego, co się dzieje.

Ofiary mogą ponieść znaczne straty finansowe, paść ofiarą kradzieży tożsamości oraz utracić pełną zdalną kontrolę nad swoim komputerem na rzecz atakujących. Wiele mechanizmów trwałości złośliwego oprogramowania oraz wykorzystanie legalnego narzędzia zdalnego dostępu sprawiają, że trudno je wykryć bez dedykowanego oprogramowania zabezpieczającego. Należy je natychmiast usunąć.

Więcej przykładów trojanów bankowych to Maverick, CHAVECLOAK oraz Tinynuke.

Jak trojan SCMBANKER przedostał się do mojego komputera?

Jak udokumentowało Elastic Security Labs, SCMBANKER jest rozpowszechniany za pośrednictwem fałszywych stron CAPTCHA typu ClickFix. Strony te są hostowane w domenach kontrolowanych przez atakujących, napisane po hiszpańsku i zaprojektowane specjalnie tak, aby atakować meksykańskich użytkowników internetu.

Odwiedzający widzą coś, co wygląda na standardową weryfikację. Strona instruuje ich, aby nacisnęli klawisz Windows i R w celu otwarcia okna dialogowego Uruchom, wkleili polecenie i nacisnęli Enter. Uruchomienie tego polecenia pobiera i wykonuje zestaw narzędzi złośliwego oprogramowania z serwera kontrolowanego przez atakującego.

Po uruchomieniu skryptu pojawia się fałszywy ekran Windows Update, podczas gdy złośliwe oprogramowanie instaluje się w tle. Ogólnie rzecz biorąc, zagrożenia takie jak SCMBANKER docierają do ofiar również poprzez e-maile phishingowe, zainfekowane strony internetowe oraz złośliwe pliki pobierane z niewiarygodnych źródeł.

Jak uniknąć instalacji złośliwego oprogramowania?

Zachowaj podejrzliwość wobec każdej strony internetowej, która prosi o wklejenie polecenia do okna dialogowego Uruchom systemu Windows, do PowerShell lub do terminala. Legalne usługi nigdy nie wymagają takiego kroku. Pobieraj oprogramowanie wyłącznie z oficjalnych stron deweloperów i unikaj pirackich treści, generatorów kluczy oraz crackowanego oprogramowania.

Aktualizuj system operacyjny i całe oprogramowanie oraz korzystaj z renomowanego programu zabezpieczającego do regularnego skanowania. Unikaj przyznawania uprawnień do powiadomień nieznanym stronom internetowym i zachowaj ostrożność wobec nieoczekiwanych wyskakujących okien lub reklam. Jeśli sądzisz, że komputer jest już zainfekowany, zalecamy przeprowadzenie skanowania za pomocą Combo Cleaner Antivirus dla Windows, aby automatycznie wyeliminować przeniknięte złośliwe oprogramowanie.

Fałszywa strona CAPTCHA (ClickFix) używana do dostarczania trojana SCMBANKER (źródło: elastic.co):

Fałszywa strona dostarczania CAPTCHA ClickFix trojana SCMBANKER

Fałszywy ekran Windows Update wyświetlany jako element odwracający uwagę podczas instalacji trojana SCMBANKER (źródło: elastic.co):

Fałszywy ekran odwracający uwagę Windows Update trojana SCMBANKER

Fałszywe strony zabezpieczeń banku wyświetlane ofiarom przez trojana SCMBANKER (źródło: elastic.co):

Fałszywa nakładka strony zabezpieczeń banku trojana SCMBANKER strona 1 Fałszywa nakładka strony zabezpieczeń banku trojana SCMBANKER strona 2 Fałszywa nakładka strony zabezpieczeń banku trojana SCMBANKER strona 3

Natychmiastowe automatyczne usunięcie malware:

Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:

POBIERZ Combo Cleaner

Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Szybkie menu:

Jak ręcznie usunąć złośliwe oprogramowanie?

Ręczne usuwanie złośliwego oprogramowania to skomplikowane zadanie - zwykle najlepiej pozwolić, aby zrobiły to automatycznie programy antywirusowe lub antymalware. Aby usunąć to złośliwe oprogramowanie, zalecamy użycie Combo Cleaner Antivirus dla Windows.

Jeśli chcesz usunąć złośliwe oprogramowanie ręcznie, pierwszym krokiem jest zidentyfikowanie nazwy złośliwego oprogramowania, które próbujesz usunąć. Oto przykład podejrzanego programu uruchomionego na komputerze użytkownika:

Proces złośliwego oprogramowania działający w Menedżerze zadań

Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład za pomocą menedżera zadań, i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś kontynuować z tymi krokami:

ręczne usuwanie złośliwego oprogramowania krok 1Pobierz program o nazwie Autoruns. Program ten wyświetla aplikacje uruchamiane automatycznie, wpisy rejestru oraz lokalizacje w systemie plików:

Wygląd aplikacji Autoruns

ręczne usuwanie złośliwego oprogramowania krok 2Uruchom ponownie komputer w trybie awaryjnym:

Użytkownicy Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij Start, kliknij Zamknij, kliknij Uruchom ponownie, kliknij OK. Podczas uruchamiania komputera naciśnij wielokrotnie klawisz F8 na klawiaturze, aż zobaczysz menu Zaawansowane opcje systemu Windows, a następnie wybierz z listy Tryb awaryjny z obsługą sieci.

Uruchom Windows 7 lub Windows XP w trybie awaryjnym z obsługą sieci

Film pokazujący, jak uruchomić Windows 7 w „Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Uruchom Windows 8 w trybie awaryjnym z obsługą sieci - Przejdź do ekranu startowego Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij Zaawansowane opcje uruchamiania, w otwartym oknie „Ustawienia ogólne komputera" wybierz Uruchamianie zaawansowane.

Kliknij przycisk „Uruchom ponownie teraz". Twój komputer uruchomi się teraz ponownie w „menu Zaawansowane opcje uruchamiania". Kliknij przycisk „Rozwiązywanie problemów", a następnie kliknij przycisk „Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij „Ustawienia uruchamiania".

Kliknij przycisk „Uruchom ponownie". Twój komputer uruchomi się ponownie w ekranie Ustawienia uruchamiania. Naciśnij F5, aby uruchomić w trybie awaryjnym z obsługą sieci.

Uruchom Windows 8 w trybie awaryjnym z obsługą sieci

Film pokazujący, jak uruchomić Windows 8 w „Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilanie. W otwartym menu kliknij „Uruchom ponownie", trzymając wciśnięty klawisz „Shift" na klawiaturze. W oknie „wybierz opcję" kliknij „Rozwiązywanie problemów", następnie wybierz „Opcje zaawansowane".

W menu opcji zaawansowanych wybierz „Ustawienia uruchamiania" i kliknij przycisk „Uruchom ponownie". W kolejnym oknie należy nacisnąć klawisz „F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

Uruchom Windows 10 w trybie awaryjnym z obsługą sieci

Film pokazujący, jak uruchomić Windows 10 w „Trybie awaryjnym z obsługą sieci":

ręczne usuwanie złośliwego oprogramowania krok 3Rozpakuj pobrane archiwum i uruchom plik Autoruns.exe.

Rozpakuj archiwum Autoruns.zip i uruchom aplikację Autoruns.exe

ręczne usuwanie złośliwego oprogramowania krok 4W aplikacji Autoruns kliknij „Options" u góry i odznacz opcje „Hide Empty Locations" oraz „Hide Windows Entries". Po tej procedurze kliknij ikonę „Refresh".

Odśwież wyniki aplikacji Autoruns

ręczne usuwanie złośliwego oprogramowania krok 5Sprawdź listę udostępnioną przez aplikację Autoruns i zlokalizuj plik złośliwego oprogramowania, który chcesz wyeliminować.

Powinieneś zapisać jego pełną ścieżkę i nazwę. Zwróć uwagę, że niektóre złośliwe oprogramowanie ukrywa nazwy procesów pod nazwami legalnych procesów systemu Windows. Na tym etapie bardzo ważne jest unikanie usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy na jego nazwie i wybierz „Delete".

Usuń złośliwe oprogramowanie w Autoruns

Po usunięciu złośliwego oprogramowania za pomocą aplikacji Autoruns (co zapewnia, że złośliwe oprogramowanie nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać nazwę złośliwego oprogramowania na komputerze. Przed kontynuacją koniecznie włącz pokazywanie ukrytych plików i folderów. Jeśli znajdziesz nazwę pliku złośliwego oprogramowania, koniecznie ją usuń.

Wyszukaj złośliwe oprogramowanie i usuń je

Uruchom ponownie komputer w trybie normalnym. Wykonanie tych kroków powinno usunąć wszelkie złośliwe oprogramowanie z komputera. Zwróć uwagę, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Jeśli nie posiadasz tych umiejętności, pozostaw usuwanie złośliwego oprogramowania programom antywirusowym i antymalware.

Te kroki mogą nie zadziałać w przypadku zaawansowanych infekcji złośliwym oprogramowaniem. Jak zawsze, lepiej zapobiegać infekcji niż próbować później usuwać złośliwe oprogramowanie. Aby zapewnić bezpieczeństwo komputera, zainstaluj najnowsze aktualizacje systemu operacyjnego i korzystaj z oprogramowania antywirusowego. Aby mieć pewność, że komputer jest wolny od infekcji złośliwym oprogramowaniem, zalecamy przeskanowanie go za pomocą Combo Cleaner Antivirus dla Windows.

Często zadawane pytania (FAQ)

Mój komputer jest zainfekowany złośliwym oprogramowaniem SCMBANKER Trojan, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?

Ponowne sformatowanie urządzenia pamięci masowej usunie SCMBANKER Trojan, ale wymaże także wszystkie dane na dysku. Uruchomienie zaufanego narzędzia zabezpieczającego, takiego jak Combo Cleaner, jest zalecanym pierwszym krokiem, ponieważ może ono usunąć infekcję bez niszczenia plików osobistych.

Jakie są największe problemy, które może spowodować złośliwe oprogramowanie SCMBANKER Trojan?

SCMBANKER Trojan może powodować bezpośrednie straty finansowe, po cichu zastępując numery kont CLABE i numery kart w schowku, przekierowując przelewy na konta kontrolowane przez atakujących. Daje również atakującym zdalną kontrolę nad zainfekowanym komputerem, co może prowadzić do dalszej kradzieży danych i dodatkowych infekcji złośliwym oprogramowaniem.

Jaki jest cel złośliwego oprogramowania SCMBANKER Trojan?

Celem SCMBANKER Trojan jest popełnianie oszustw bankowych wymierzonych w użytkowników meksykańskich instytucji finansowych. Robi to, wyświetlając fałszywe ostrzeżenia zabezpieczeń banku, przejmując zawartość schowka w celu przekierowania przelewów oraz dając operatorom zdalną kontrolę nad komputerem ofiary w czasie rzeczywistym.

Jak złośliwe oprogramowanie SCMBANKER Trojan przeniknęło do mojego komputera?

SCMBANKER Trojan rozprzestrzenia się poprzez fałszywe strony CAPTCHA w stylu ClickFix, które instruują odwiedzających, aby wkleili złośliwe polecenie do okna dialogowego Uruchom systemu Windows. Ogólnie rzecz biorąc, zagrożenia tego typu docierają do ofiar również poprzez e-maile phishingowe, zainfekowane strony internetowe oraz pobieranie złośliwego oprogramowania.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Tak. Combo Cleaner może wykryć i usunąć SCMBANKER Trojan oraz podobne zagrożenia. Ponieważ to złośliwe oprogramowanie instaluje wiele komponentów trwałości, przeprowadzenie pełnego skanowania systemu jest ważne, aby upewnić się, że wszystkie części infekcji zostały dokładnie wyeliminowane.

Udostępnij:

facebook
X (Twitter)
linkedin
skopiuj link
Tomas Meskauskas

Tomas Meskauskas

Ekspert ds. bezpieczeństwa, profesjonalny analityk złośliwego oprogramowania

Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online.

▼ Pokaż dyskusję

Portal bezpieczeństwa PCrisk jest prowadzony przez firmę RCS LT.

Połączone siły badaczy bezpieczeństwa pomagają edukować użytkowników komputerów na temat najnowszych zagrożeń bezpieczeństwa w Internecie. Więcej informacji o firmie RCS LT.

Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.

Przekaż darowiznę