Come rimuovere SCMBANKER Trojan dal sistema operativo

Trojan

Conosciuto anche come: SCMBANKER malware

Livello di danno:

Ottieni una scansione gratuita e controlla se il tuo computer è infetto.

RIMUOVILO SUBITO

Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.

Che tipo di malware è il trojan SCMBANKER?

SCMBANKER Trojan è un trojan bancario sviluppato in PowerShell e destinato agli utenti di istituti finanziari messicani. Secondo una ricerca di Elastic Security Labs, fa parte di una campagna di frode attiva e assistita da operatori, monitorata con il nome REF6045.

Il malware viene distribuito tramite pagine CAPTCHA false di ClickFix che inducono le vittime a eseguire un comando dannoso. Una volta installato, mostra falsi avvisi di sicurezza bancari progettati per spaventare le vittime e indurle a chiamare numeri di telefono controllati dagli aggressori.

SCMBANKER dirotta anche gli appunti, sostituendo silenziosamente i numeri di conto CLABE e i numeri delle carte di pagamento con alternative controllate dagli aggressori per reindirizzare i bonifici bancari. Uno strumento commerciale di accesso remoto installato insieme al malware consente agli operatori di controllare in tempo reale la macchina infetta.

Malware trojan SCMBANKER

Panoramica del trojan SCMBANKER

SCMBANKER è strutturato come un toolkit modulare, in cui ogni script PowerShell è responsabile di una parte distinta dell'operazione fraudolenta. Come documentato da Elastic Security Labs, la campagna si basa su una dashboard di controllo attiva, il che significa che persone reali monitorano le macchine infette e impartiscono comandi quasi in tempo reale.

Il malware invia un segnale command and control al server dell'attaccante ogni 30 secondi. Ogni check-in riporta il nome della macchina, un ID client univoco, gli indirizzi IP locali e pubblici e lo stato dei componenti installati. Gli operatori inviano comandi di risposta tramite file di testo ospitati sullo stesso server.

Durante l'installazione, viene visualizzata una falsa schermata di Windows Update per distrarre la vittima mentre il toolkit del malware viene scaricato in background. La vittima vede quello che sembra un normale aggiornamento di sistema in corso, dando al malware il tempo di configurarsi senza essere individuato.

Capacità di frode bancaria

SCMBANKER monitora continuamente quali finestre sono aperte sul computer infetto. Quando rileva un titolo corrispondente a una banca messicana, una piattaforma fintech, un processore di pagamento, un exchange di criptovalute o il SAT (l'autorità fiscale del Messico), inizia immediatamente a catturare screenshot a ritmo elevato.

A quel punto, il malware può visualizzare una falsa pagina di sicurezza bancaria nel browser, progettata per assomigliare a un avviso reale della banca della vittima. Queste pagine citano vaghi problemi di sicurezza, mostrano un falso numero di riferimento e sollecitano la vittima a chiamare un numero di telefono controllato dagli attaccanti.

SCMBANKER può anche reindirizzare completamente la vittima a un falso portale bancario. Inserisce un URL di phishing negli appunti e poi simula la pressione di tasti per aprirlo nel browser, sostituendo il vero sito bancario senza alcun segno evidente che sia avvenuto un cambiamento.

Dirottamento degli appunti e accesso remoto

In background, SCMBANKER monitora gli appunti alla ricerca di numeri CLABE (identificatori di routing bancari messicani di 18 cifre) e numeri di carte di pagamento a 16 cifre. Quando viene rilevato uno di questi formati, il valore viene silenziosamente sostituito con un'alternativa caricata da un file di configurazione sul server dell'attaccante.

Il toolkit installa Remote Utilities, un'applicazione commerciale legittima di accesso remoto, configurata per connettersi silenziosamente all'infrastruttura degli operatori. Ciò offre agli attaccanti l'accesso in tempo reale allo schermo, il pieno controllo di tastiera e mouse e la possibilità di interagire direttamente con il computer della vittima.

Il malware include anche un modulo di keylogging in grado di registrare tutto ciò che la vittima digita e trasmetterlo a un canale Telegram controllato dagli attaccanti.

Persistenza ed elusione delle difese

SCMBANKER utilizza diversi metodi per sopravvivere ai riavvii. Scrive un comando di avvio nella chiave Run del registro di Windows, assicurandosi di avviarsi automaticamente all'accesso. Un file VBScript viene inoltre copiato nella cartella Esecuzione automatica di Windows come meccanismo di persistenza di riserva.

Il malware nasconde tutti i suoi file applicando attributi nascosti e di sistema, rendendoli invisibili nelle visualizzazioni standard delle cartelle. Rimuove inoltre il record di disinstallazione per il componente Remote Utilities, impedendo che appaia nell'elenco dei programmi installati.

Durante l'installazione, un ciclo di bypass del UAC riprova ogni 20 secondi finché non viene concesso l'accesso come amministratore. Il malware inoltre blocca brevemente il cursore del mouse su un singolo pixel dello schermo, impedendo alla vittima di interagire con il computer mentre il toolkit viene scaricato in background.

Riepilogo della minaccia:
Nome SCMBANKER malware
Tipo Di Minaccia Trojan bancario, Trojan, Clipper, Remote Access Trojan (RAT)
Nomi Di Rilevamento AliCloud (Trojan:Win/Agent.dds), Huorong (HEUR:Trojan/Runner.e), Ikarus (Trojan.VBS.Agent), Kaspersky (Trojan.VBS.Agent.dar), Elenco Completo (VirusTotal)
Sintomi I trojan bancari sono progettati per infiltrarsi furtivamente nel computer della vittima e rimanere silenziosi. SCMBANKER può visualizzare false pagine di sicurezza bancaria quando i siti bancari sono attivi; al di fuori di questi momenti, non sono chiaramente visibili sintomi particolari su una macchina infetta.
Metodi Di Distribuzione ClickFix, siti web ingannevoli, ingegneria sociale.
Danni Frode bancaria e furto finanziario, dirottamento degli appunti (numeri CLABE e dettagli delle carte sostituiti silenziosamente), accesso remoto non autorizzato al computer della vittima, furto di identità, possibilità di ulteriori infezioni malware.
Rimozione dei malware (Windows)

Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner.

Scarica Combo Cleaner

Lo scanner gratuito controlla se il tuo computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.

Conclusione

Il trojan SCMBANKER rappresenta un rischio finanziario diretto per gli utenti dei servizi bancari messicani. Combinando falsi overlay bancari, dirottamento degli appunti e accesso remoto controllato dagli operatori, può intercettare veri trasferimenti bancari mantenendo la vittima completamente ignara di ciò che sta accadendo.

Le vittime possono subire perdite finanziarie significative, furto di identità e il pieno controllo remoto del proprio computer da parte degli attaccanti. I molteplici meccanismi di persistenza del malware e l'uso di uno strumento legittimo di accesso remoto lo rendono difficile da individuare senza un software di sicurezza dedicato. Dovrebbe essere rimosso immediatamente.

Altri esempi di trojan bancari sono Maverick, CHAVECLOAK e Tinynuke.

Come si è infiltrato il trojan SCMBANKER nel mio computer?

Come documentato da Elastic Security Labs, SCMBANKER viene distribuito tramite false pagine CAPTCHA ClickFix. Queste pagine sono ospitate su domini controllati dagli attaccanti, scritte in spagnolo e progettate specificamente per colpire gli utenti internet messicani.

I visitatori vedono quello che sembra un controllo di verifica standard. La pagina li istruisce a premere il tasto Windows e R per aprire la finestra di dialogo Esegui, incollare un comando e premere Invio. L'esecuzione di quel comando scarica ed esegue il toolkit del malware da un server controllato dagli attaccanti.

Una volta eseguito lo script, appare una falsa schermata di Windows Update mentre il malware si installa in background. Più in generale, minacce come SCMBANKER raggiungono le vittime anche tramite email di phishing, siti web compromessi e download dannosi da fonti inaffidabili.

Come evitare l'installazione di malware?

Diffidi di qualsiasi sito web che le chieda di incollare un comando nella finestra di dialogo Esegui di Windows, in PowerShell o in un terminale. I servizi legittimi non richiedono mai questo passaggio. Scarichi software solo dai siti web ufficiali degli sviluppatori ed eviti contenuti piratati, generatori di chiavi e crack di software.

Mantenga aggiornati il sistema operativo e tutto il software e utilizzi un programma di sicurezza affidabile per eseguire scansioni regolari. Eviti di concedere autorizzazioni per le notifiche a siti web sconosciuti e presti attenzione a pop-up o annunci imprevisti. Se ritiene che il suo computer sia già infetto, le consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows per eliminare automaticamente il malware infiltrato.

Falsa pagina CAPTCHA (ClickFix) utilizzata per distribuire il trojan SCMBANKER (fonte: elastic.co):

Falsa pagina di distribuzione CAPTCHA ClickFix del trojan SCMBANKER

Falsa schermata di Windows Update visualizzata come distrazione durante l'installazione del trojan SCMBANKER (fonte: elastic.co):

Falsa schermata di distrazione Windows Update del trojan SCMBANKER

False pagine di sicurezza bancaria visualizzate dal trojan SCMBANKER alle vittime (fonte: elastic.co):

Falsa pagina overlay di sicurezza bancaria del trojan SCMBANKER 1 Falsa pagina overlay di sicurezza bancaria del trojan SCMBANKER 2 Falsa pagina overlay di sicurezza bancaria del trojan SCMBANKER 3

Rimozione automatica istantanea dei malware:

La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:

SCARICA Combo Cleaner

Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.

Menu rapido:

Come rimuovere il malware manualmente?

La rimozione manuale del malware è un'operazione complicata - di solito è meglio consentire ai programmi antivirus o anti-malware di farlo automaticamente. Per rimuovere questo malware consigliamo di utilizzare Combo Cleaner Antivirus per Windows.

Se desidera rimuovere il malware manualmente, il primo passo è identificare il nome del malware che sta cercando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer di un utente:

Processo malware in esecuzione nel Task Manager

Se ha controllato l'elenco dei programmi in esecuzione sul suo computer, ad esempio utilizzando il task manager, e ha identificato un programma che sembra sospetto, dovrebbe continuare con questi passaggi:

rimozione manuale del malware passo 1Scarichi un programma chiamato Autoruns. Questo programma mostra le applicazioni ad avvio automatico, il Registro e le posizioni del file system:

Aspetto dell'applicazione Autoruns

rimozione manuale del malware passo 2Riavvii il computer in Modalità provvisoria:

Utenti di Windows XP e Windows 7: Avvii il computer in Modalità provvisoria. Faccia clic su Start, faccia clic su Arresta il sistema, faccia clic su Riavvia, faccia clic su OK. Durante il processo di avvio del computer, prema più volte il tasto F8 sulla tastiera fino a visualizzare il menu Opzioni avanzate di Windows, quindi selezioni Modalità provvisoria con rete dall'elenco.

Esegui Windows 7 o Windows XP in Modalità provvisoria con rete

Video che mostra come avviare Windows 7 in «Modalità provvisoria con rete»:

Utenti di Windows 8: Avviare Windows 8 in Modalità provvisoria con rete - Vada alla schermata Start di Windows 8, digiti Avanzate, nei risultati della ricerca selezioni Impostazioni. Faccia clic su Opzioni di avvio avanzate, nella finestra «Impostazioni PC generali» aperta, selezioni Avvio avanzato.

Faccia clic sul pulsante «Riavvia ora». Il computer si riavvierà ora nel «menu Opzioni di avvio avanzate». Faccia clic sul pulsante «Risoluzione dei problemi», quindi faccia clic sul pulsante «Opzioni avanzate». Nella schermata delle opzioni avanzate, faccia clic su «Impostazioni di avvio».

Faccia clic sul pulsante «Riavvia». Il PC si riavvierà nella schermata Impostazioni di avvio. Prema F5 per avviare in Modalità provvisoria con rete.

Esegui Windows 8 in Modalità provvisoria con rete

Video che mostra come avviare Windows 8 in «Modalità provvisoria con rete»:

Utenti di Windows 10: Faccia clic sul logo di Windows e selezioni l'icona di alimentazione. Nel menu aperto faccia clic su «Riavvia» tenendo premuto il tasto «Shift» sulla tastiera. Nella finestra «scegli un'opzione» faccia clic su «Risoluzione dei problemi», quindi selezioni «Opzioni avanzate».

Nel menu delle opzioni avanzate selezioni «Impostazioni di avvio» e faccia clic sul pulsante «Riavvia». Nella finestra successiva dovrebbe premere il tasto «F5» sulla tastiera. Questo riavvierà il sistema operativo in modalità provvisoria con rete.

Esegui Windows 10 in Modalità provvisoria con rete

Video che mostra come avviare Windows 10 in «Modalità provvisoria con rete»:

rimozione manuale del malware passo 3Estragga l'archivio scaricato ed esegua il file Autoruns.exe.

Estrai l'archivio Autoruns.zip ed esegui l'applicazione Autoruns.exe

rimozione manuale del malware passo 4Nell'applicazione Autoruns, faccia clic su «Options» in alto e deselezioni le opzioni «Hide Empty Locations» e «Hide Windows Entries». Dopo questa procedura, faccia clic sull'icona «Refresh».

Aggiorna i risultati dell'applicazione Autoruns

rimozione manuale del malware passo 5Controlli l'elenco fornito dall'applicazione Autoruns e individui il file del malware che desidera eliminare.

Dovrebbe annotarne il percorso completo e il nome. Tenga presente che alcuni malware nascondono i nomi dei processi sotto nomi di processi legittimi di Windows. In questa fase, è molto importante evitare di rimuovere i file di sistema. Dopo aver individuato il programma sospetto che desidera rimuovere, faccia clic con il tasto destro del mouse sul suo nome e scelga «Delete».

Elimina il malware in Autoruns

Dopo aver rimosso il malware tramite l'applicazione Autoruns (questo garantisce che il malware non verrà eseguito automaticamente al successivo avvio del sistema), dovrebbe cercare il nome del malware sul suo computer. Si assicuri di abilitare i file e le cartelle nascoste prima di procedere. Se trova il nome del file del malware, si assicuri di rimuoverlo.

Cerca il malware ed eliminalo

Riavvii il computer in modalità normale. Seguendo questi passaggi dovrebbe rimuovere qualsiasi malware dal suo computer. Tenga presente che la rimozione manuale delle minacce richiede competenze informatiche avanzate. Se non possiede queste competenze, lasci la rimozione del malware ai programmi antivirus e anti-malware.

Questi passaggi potrebbero non funzionare con infezioni malware avanzate. Come sempre, è meglio prevenire l'infezione che tentare di rimuovere il malware in seguito. Per mantenere il computer sicuro, installi gli ultimi aggiornamenti del sistema operativo e utilizzi un software antivirus. Per essere sicuro che il computer sia privo di infezioni malware, consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows.

Domande frequenti (FAQ)

Il mio computer è infetto dal malware trojan SCMBANKER, dovrei formattare il mio dispositivo di archiviazione per liberarmene?

La riformattazione del dispositivo di archiviazione rimuoverà il trojan SCMBANKER, ma cancellerà anche tutti i dati sull'unità. Eseguire uno strumento di sicurezza affidabile come Combo Cleaner è il primo passo consigliato, poiché può rimuovere l'infezione senza distruggere i file personali.

Quali sono i problemi più gravi che il malware trojan SCMBANKER può causare?

Il trojan SCMBANKER può causare perdite finanziarie dirette sostituendo silenziosamente i numeri di conto CLABE e i numeri di carta negli appunti, dirottando i trasferimenti verso conti controllati dagli attaccanti. Offre inoltre agli attaccanti il controllo remoto del computer infetto, il che può portare a ulteriori furti di dati e infezioni malware aggiuntive.

Qual è lo scopo del malware trojan SCMBANKER?

Lo scopo del trojan SCMBANKER è commettere frodi bancarie ai danni degli utenti delle istituzioni finanziarie messicane. Lo fa visualizzando falsi avvisi di sicurezza bancaria, dirottando il contenuto degli appunti per reindirizzare i trasferimenti e offrendo agli operatori il controllo remoto in tempo reale del computer della vittima.

Come si è infiltrato il malware trojan SCMBANKER nel mio computer?

Il trojan SCMBANKER si diffonde attraverso false pagine CAPTCHA in stile ClickFix che istruiscono i visitatori a incollare un comando dannoso nella finestra di dialogo Esegui di Windows. Più in generale, minacce di questo tipo raggiungono le vittime anche tramite email di phishing, siti web compromessi e download di software dannoso.

Combo Cleaner mi proteggerà dal malware?

Sì. Combo Cleaner può rilevare e rimuovere il trojan SCMBANKER e minacce simili. Poiché questo malware installa più componenti di persistenza, è importante eseguire una scansione completa del sistema per assicurarsi che tutte le parti dell'infezione siano completamente eliminate.

Condividi:

facebook
X (Twitter)
linkedin
copia link
Tomas Meskauskas

Tomas Meskauskas

Esperto ricercatore nel campo della sicurezza, analista professionista di malware

Sono appassionato di sicurezza e tecnologia dei computer. Ho un'esperienza di oltre 10 anni di lavoro in varie aziende legate alla risoluzione di problemi tecnici del computer e alla sicurezza di Internet. Dal 2010 lavoro come autore ed editore per PCrisk. Seguimi su Twitter e LinkedIn per rimanere informato sulle ultime minacce alla sicurezza online.

▼ Mostra Discussione

Il portale di sicurezza PCrisk è offerto dalla società RCS LT.

I ricercatori nel campo della sicurezza hanno unito le forze per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sull'azienda RCS LT.

Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.

Donazione