🛡️ Executive Summary
- La campagna REF6045 utilizza il toolkit SCMBanker per monitorare e manipolare in tempo reale sessioni di home banking attraverso PowerShell.
- Il malware combina phishing, persistenza, controllo remoto, sostituzione dei dati bancari e supervisione umana per massimizzare il successo delle frodi.
- L’analisi evidenzia possibili tracce di sviluppo assistito da LLM, confermando l’evoluzione delle piattaforme criminali verso modelli sempre più sofisticati.
Le campagne di frode bancaria stanno evolvendo rapidamente, passando da semplici trojan finanziari a piattaforme complete capaci di assistere gli operatori criminali durante ogni fase dell’attacco. È il caso di SCMBanker, toolkit analizzato da Elastic Security Labs nell’ambito dell’operazione REF6045, una campagna attiva principalmente contro il settore finanziario messicano. La piattaforma, sviluppata quasi interamente in PowerShell, automatizza gran parte delle attività di sorveglianza del dispositivo compromesso ma lascia agli operatori il controllo delle decisioni più importanti, consentendo di intervenire direttamente mentre la vittima utilizza il proprio conto bancario. L’analisi evidenzia inoltre elementi che suggeriscono l’impiego di modelli linguistici di grandi dimensioni (LLM) durante lo sviluppo del codice, segnale di come anche il cybercrime stia iniziando a sfruttare strumenti di intelligenza artificiale per accelerare la realizzazione di malware sempre più sofisticati.
Cosa leggere
La campagna REF6045 prende di mira il settore finanziario messicano
Secondo Elastic Security Labs, l’operazione REF6045 è stata progettata specificamente per colpire utenti e organizzazioni operanti nel sistema bancario messicano. Diversamente dalle tradizionali campagne malware distribuite indiscriminatamente, gli attaccanti hanno costruito un’infrastruttura mirata contro banche retail, piattaforme di home banking aziendale, servizi fintech, processori di pagamento, exchange di criptovalute, piattaforme di investimento e persino il portale del Servicio de Administración Tributaria (SAT). L’obiettivo non è soltanto sottrarre credenziali di accesso, ma intervenire direttamente durante le operazioni finanziarie, modificando i dati delle transazioni e massimizzando il profitto delle frodi. Questa strategia rende SCMBanker più simile a una piattaforma di assistenza agli operatori criminali che a un semplice malware automatizzato.
La catena di infezione sfrutta phishing e PowerShell

Diagramma della catena di esecuzione REF6045 SCMBANKER, dall’esca ClickFix al controllo C2.
L’infezione prende avvio attraverso pagine di phishing che riproducono fedelmente una verifica Google CAPTCHA. Dopo aver completato la falsa procedura di verifica, la vittima viene convinta a eseguire un comando che attiva una sequenza di script Batch e PowerShell. Durante questa fase il malware mostra una schermata che simula un aggiornamento di sistema, distraendo l’utente mentre vengono eseguite operazioni molto più invasive. Gli script provvedono ad aggirare il controllo User Account Control (UAC), bloccano temporaneamente il cursore del mouse per ostacolare eventuali interventi dell’utente e utilizzano bitsadmin per scaricare l’intero toolkit dai server controllati dagli attaccanti. Una volta completata l’installazione, SCMBanker crea meccanismi di persistenza attraverso modifiche al Registro di Windows e file inseriti nelle cartelle di avvio automatico, costringendo infine il sistema a riavviarsi affinché tutti i moduli vengano caricati automaticamente al successivo accesso dell’utente.
Monitoraggio continuo delle sessioni bancarie

Una delle caratteristiche che distingue SCMBanker dai classici trojan bancari consiste nella sorveglianza continua delle attività dell’utente. I moduli PowerShell monitorano costantemente il titolo della finestra attiva per identificare l’apertura di siti bancari, servizi finanziari o applicazioni di pagamento. Quando viene individuata una sessione di interesse, il malware acquisisce screenshot del desktop e invia notifiche in tempo reale al pannello di amministrazione utilizzato dagli operatori. Da quel momento il controllo passa all’attaccante, che può decidere quali moduli attivare in base al tipo di operazione eseguita dalla vittima. Questo approccio riduce il rumore operativo e permette ai criminali di concentrare le proprie risorse soltanto quando si presenta un’opportunità concreta di frode.
Manipolazione delle transazioni e controllo remoto

SCMBanker integra numerose funzionalità pensate per alterare direttamente le operazioni finanziarie. Tra le più efficaci figura la sostituzione automatica dei dati presenti negli appunti di Windows. Quando la vittima copia un numero CLABE, un IBAN o dati relativi a carte di pagamento, il malware li sostituisce immediatamente con valori controllati dagli attaccanti, inducendo inconsapevolmente l’utente a effettuare bonifici verso conti fraudolenti. Il toolkit è inoltre in grado di reindirizzare il browser verso pagine di phishing, visualizzare overlay che bloccano completamente lo schermo e invitano la vittima a contattare falsi operatori dell’assistenza bancaria, oltre a installare silenziosamente un Remote Access Tool basato su Remote Utilities Host. Attraverso questo componente gli operatori possono assumere il controllo completo del computer, osservare in diretta l’attività della vittima e intervenire durante qualsiasi fase della sessione bancaria.
Keylogging, screenshot e sorveglianza completa

L’arsenale del malware comprende anche funzionalità tipiche degli spyware più evoluti. SCMBanker registra continuamente i tasti digitati attraverso un sistema di keylogging, cattura screenshot multipli del desktop e raccoglie informazioni sul comportamento dell’utente durante l’utilizzo delle applicazioni finanziarie. L’obiettivo non è soltanto ottenere credenziali, ma costruire un quadro completo dell’attività della vittima, consentendo agli operatori di adattare la strategia di frode alle circostanze. La combinazione tra automazione e controllo remoto permette infatti di intervenire soltanto quando l’utente sta realmente effettuando operazioni di pagamento, aumentando notevolmente il tasso di successo rispetto ai malware completamente automatizzati.
L’intelligenza artificiale potrebbe aver contribuito allo sviluppo
Uno degli aspetti più interessanti evidenziati da Elastic Security Labs riguarda il possibile utilizzo di Large Language Model durante la realizzazione del toolkit. Diversi file PowerShell presentano infatti commenti estremamente strutturati, convenzioni di denominazione uniformi e una formattazione coerente che ricordano da vicino il codice generato automaticamente da strumenti basati su intelligenza artificiale. Gli sviluppatori sembrano aver successivamente applicato tecniche manuali di offuscamento e personalizzazione, ma gli artefatti rimasti suggeriscono che gli LLM possano essere stati utilizzati almeno nella fase iniziale di sviluppo. Questo non significa che il malware sia stato creato interamente dall’intelligenza artificiale, ma conferma una tendenza sempre più evidente nel panorama cybercriminale: gli strumenti AI vengono impiegati per accelerare la produzione di codice, ridurre gli errori e sviluppare nuove funzionalità con maggiore rapidità.
Un modello ibrido che aumenta l’efficacia delle frodi
L’analisi di REF6045 evidenzia come il futuro delle frodi bancarie sia sempre meno legato all’automazione completa e sempre più orientato a modelli ibridi. In SCMBanker il malware svolge tutte le attività ripetitive — monitoraggio, persistenza, raccolta di informazioni e preparazione dell’attacco — mentre gli operatori umani intervengono nei momenti decisivi, valutando le operazioni bancarie in corso e scegliendo come manipolarle. Questo approccio consente di adattare la frode alle circostanze specifiche della vittima e riduce il rischio di errori che potrebbero insospettire gli utenti. Per istituti finanziari e organizzazioni la mitigazione passa attraverso il monitoraggio delle esecuzioni anomale di PowerShell, il controllo dell’utilizzo della clipboard, il rilevamento di strumenti di accesso remoto non autorizzati e la sensibilizzazione degli utenti contro campagne di phishing che simulano CAPTCHA o aggiornamenti di sistema. Elastic ha inoltre pubblicato indicatori di compromissione (IOC) e regole di rilevamento che consentono ai team di sicurezza di individuare tempestivamente attività riconducibili a questa piattaforma, confermando come il settore delle frodi finanziarie continui a evolversi rapidamente sfruttando automazione, supervisione umana e, sempre più spesso, il supporto dell’intelligenza artificiale.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









