Hoe verwijdert u de SCMBANKER Trojan uit het besturingssysteem
TrojanOok bekend als: SCMBANKER malware
Doe een gratis scan en controleer of uw computer is geïnfecteerd.
VERWIJDER HET NUOm het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.
Wat voor soort malware is SCMBANKER Trojan?
SCMBANKER Trojan is een banking trojan gebouwd in PowerShell en gericht op gebruikers van Mexicaanse financiële instellingen. Volgens onderzoek van Elastic Security Labs maakt het deel uit van een actieve, door operators ondersteunde fraudecampagne die wordt gevolgd als REF6045.
De malware wordt verspreid via ClickFix nep-CAPTCHA-pagina's die slachtoffers verleiden tot het uitvoeren van een kwaadaardige opdracht. Eenmaal geïnstalleerd toont het nep-beveiligingswaarschuwingen van banken die zijn ontworpen om slachtoffers in paniek te brengen zodat ze telefoonnummers bellen die door de aanvaller worden beheerd.
SCMBANKER kaapt ook het klembord en vervangt stiekem CLABE-rekeningnummers en betaalkaartnummers door door de aanvaller beheerde alternatieven om bankoverschrijvingen om te leiden. Een commercieel hulpprogramma voor externe toegang dat samen met de malware wordt geïnstalleerd, geeft operators live controle over de geïnfecteerde machine.

Overzicht van SCMBANKER Trojan
SCMBANKER is opgebouwd als een modulaire toolkit, waarbij elk PowerShell-script verantwoordelijk is voor een afzonderlijk deel van de frauduleuze operatie. Zoals gedocumenteerd door Elastic Security Labs, vertrouwt de campagne op een live operatordashboard, wat betekent dat echte mensen geïnfecteerde machines monitoren en vrijwel in real time opdrachten geven.
De malware verstuurt elke 30 seconden een command and control-baken naar de server van de aanvaller. Bij elke check-in worden de machinenaam, een unieke client-ID, lokale en openbare IP-adressen en de status van geïnstalleerde componenten gerapporteerd. Operators sturen opdrachten terug via tekstbestanden die op dezelfde server worden gehost.
Tijdens de installatie wordt een nep-Windows Update-scherm weergegeven om het slachtoffer af te leiden terwijl de malware-toolkit op de achtergrond wordt gedownload. Het slachtoffer ziet wat lijkt op een routinematige systeemupdate die bezig is, waardoor de malware de tijd krijgt om zichzelf ongemerkt te installeren.
Mogelijkheden voor bankfraude
SCMBANKER monitort voortdurend welke vensters op de geïnfecteerde computer geopend zijn. Wanneer het een titel detecteert die overeenkomt met een Mexicaanse bank, fintech-platform, betalingsverwerker, cryptocurrency-exchange of de SAT (de Mexicaanse belastingdienst), begint het onmiddellijk met het snel maken van schermafbeeldingen.
Op dat moment kan de malware een nep-bankbeveiligingspagina in de browser weergeven, ontworpen om eruit te zien als een echte waarschuwing van de eigen bank van het slachtoffer. Deze pagina's noemen vage beveiligingsproblemen, tonen een nep-referentienummer en dringen er bij het slachtoffer op aan een telefoonnummer te bellen dat door de aanvallers wordt beheerd.
SCMBANKER kan het slachtoffer ook volledig omleiden naar een nep-bankportaal. Het plaatst een phishing-URL in het klembord en simuleert vervolgens toetsaanslagen om deze in de browser te openen, waarbij de echte banksite wordt vervangen zonder enig duidelijk teken dat er een wijziging heeft plaatsgevonden.
Klembordkaping en toegang op afstand
Op de achtergrond monitort SCMBANKER het klembord op CLABE-nummers (18-cijferige Mexicaanse bankrouteringsidentificaties) en 16-cijferige betaalkaartnummers. Wanneer een van beide formaten wordt gedetecteerd, wordt de waarde stilletjes vervangen door een alternatief dat wordt geladen uit een configuratiebestand op de server van de aanvaller.
De toolkit installeert Remote Utilities, een legitieme commerciële applicatie voor toegang op afstand, geconfigureerd om stilletjes verbinding te maken met de infrastructuur van de operator. Dit geeft aanvallers live toegang tot het scherm, volledige controle over toetsenbord en muis, en de mogelijkheid om rechtstreeks met de computer van het slachtoffer te interageren.
De malware bevat ook een keylogging-module die alles kan opnemen wat het slachtoffer typt en dit kan doorsturen naar een door de aanvaller beheerd Telegram-kanaal.
Persistentie en verdedigingsontwijking
SCMBANKER gebruikt meerdere methoden om herstarts te overleven. Het schrijft een startcommando naar de Run-sleutel van het Windows-register, waardoor het automatisch bij aanmelding start. Er wordt ook een VBScript-bestand naar de Windows-opstartmap gekopieerd als back-up voor het persistentiemechanisme.
De malware verbergt al zijn bestanden door verborgen- en systeemattributen toe te passen, waardoor ze onzichtbaar worden in standaard mapweergaven. Het verwijdert ook het verwijderrecord voor het Remote Utilities-component, waardoor het niet in de lijst met geïnstalleerde programma's verschijnt.
Tijdens de installatie probeert een UAC-bypass-lus het elke 20 seconden opnieuw totdat beheerderstoegang wordt verleend. De malware vangt ook kortstondig de muiscursor op een enkele pixel op het scherm, waardoor het slachtoffer niet met de computer kan interageren terwijl de toolkit op de achtergrond wordt gedownload.
| Naam | SCMBANKER malware |
| Type Dreiging | Bank-trojan, Trojan, Clipper, Remote Access Trojan (RAT) |
| Detectienamen | AliCloud (Trojan:Win/Agent.dds), Huorong (HEUR:Trojan/Runner.e), Ikarus (Trojan.VBS.Agent), Kaspersky (Trojan.VBS.Agent.dar), Volledige Lijst (VirusTotal) |
| Symptomen | Bank-trojans zijn ontworpen om de computer van het slachtoffer heimelijk binnen te dringen en stil te blijven. SCMBANKER kan nep-bankbeveiligingspagina's weergeven wanneer banksites actief zijn; buiten die momenten zijn er geen bepaalde symptomen duidelijk zichtbaar op een geïnfecteerde machine. |
| Distributiemethoden | ClickFix, misleidende websites, social engineering. |
| Schade | Bankfraude en financiële diefstal, klembordkaping (CLABE-nummers en kaartgegevens stilletjes vervangen), ongeautoriseerde toegang op afstand tot de computer van het slachtoffer, identiteitsdiefstal, potentieel voor aanvullende malware-infecties. |
| Malware verwijderen (Windows) |
Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. Combo Cleaner voor Windows DownloadenGratis scanner die controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk. |
Conclusie
SCMBANKER Trojan vormt een direct financieel risico voor gebruikers van Mexicaanse bankdiensten. Door nep-bankoverlays, klembordkaping en door de operator beheerde toegang op afstand te combineren, kan het echte bankoverschrijvingen onderscheppen terwijl het slachtoffer volledig onwetend blijft van wat er gebeurt.
Slachtoffers kunnen aanzienlijke financiële verliezen, identiteitsdiefstal en volledige controle op afstand over hun computer door aanvallers lijden. De meerdere persistentiemechanismen van de malware en het gebruik van een legitieme tool voor toegang op afstand maken het moeilijk te detecteren zonder speciale beveiligingssoftware. Het moet onmiddellijk worden verwijderd.
Meer voorbeelden van bank-trojans zijn Maverick, CHAVECLOAK en Tinynuke.
Hoe is SCMBANKER Trojan mijn computer binnengedrongen?
Zoals gedocumenteerd door Elastic Security Labs, wordt SCMBANKER verspreid via ClickFix nep-CAPTCHA-pagina's. Deze pagina's worden gehost op door aanvallers beheerde domeinen, zijn in het Spaans geschreven en specifiek ontworpen om Mexicaanse internetgebruikers te targeten.
Bezoekers zien wat lijkt op een standaard verificatiecontrole. De pagina instrueert hen om op de Windows-toets en R te drukken om het dialoogvenster Uitvoeren te openen, een commando te plakken en op Enter te drukken. Het uitvoeren van dat commando downloadt en voert de malware-toolkit uit vanaf een door de aanvaller beheerde server.
Zodra het script wordt uitgevoerd, verschijnt er een nep-Windows Update-scherm terwijl de malware op de achtergrond wordt geïnstalleerd. Meer in het algemeen bereiken dreigingen zoals SCMBANKER slachtoffers ook via phishing-e-mails, gecompromitteerde websites en kwaadaardige downloads uit onbetrouwbare bronnen.
Hoe kan de installatie van malware worden vermeden?
Wees wantrouwig tegenover elke website die u vraagt om een commando te plakken in het dialoogvenster Uitvoeren van Windows, PowerShell of een terminal. Legitieme diensten vereisen deze stap nooit. Download software alleen van officiële ontwikkelaarswebsites en vermijd illegale content, keygenerators en software-cracks.
Houd uw besturingssysteem en alle software up-to-date, en gebruik een betrouwbaar beveiligingsprogramma om regelmatig scans uit te voeren. Vermijd het verlenen van meldingsrechten aan onbekende websites en wees voorzichtig met onverwachte pop-ups of advertenties. Als u denkt dat uw computer al geïnfecteerd is, raden we aan een scan uit te voeren met Combo Cleaner Antivirus voor Windows om binnengedrongen malware automatisch te elimineren.
Nep-CAPTCHA-pagina (ClickFix) gebruikt om SCMBANKER Trojan te leveren (bron: elastic.co):

Nep-Windows Update-scherm weergegeven als afleiding tijdens de installatie van SCMBANKER Trojan (bron: elastic.co):

Nep-bankbeveiligingspagina's weergegeven door SCMBANKER Trojan aan slachtoffers (bron: elastic.co):
Onmiddellijke automatische malwareverwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
DOWNLOAD Combo CleanerDoor het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.
Snelmenu:
- Wat is SCMBANKER Trojan?
- STAP 1. Handmatige verwijdering van SCMBANKER Trojan-malware.
- STAP 2. Controleer of uw computer schoon is.
Hoe verwijder ik malware handmatig?
Handmatige malwareverwijdering is een ingewikkelde taak - meestal is het het beste om antivirus- of anti-malwareprogramma's dit automatisch te laten doen. Om deze malware te verwijderen raden we aan Combo Cleaner Antivirus voor Windows te gebruiken.
Als u malware handmatig wilt verwijderen, is de eerste stap het identificeren van de naam van de malware die u probeert te verwijderen. Hier is een voorbeeld van een verdacht programma dat op de computer van een gebruiker draait:

Als u de lijst met programma's die op uw computer draaien hebt gecontroleerd, bijvoorbeeld met taakbeheer, en een programma hebt geïdentificeerd dat er verdacht uitziet, moet u met deze stappen doorgaan:
Download een programma genaamd Autoruns. Dit programma toont automatisch startende applicaties, het register en locaties in het bestandssysteem:

Herstart uw computer in de Veilige modus:
Gebruikers van Windows XP en Windows 7: Start uw computer op in de Veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten, klik op OK. Druk tijdens het opstartproces van uw computer meerdere keren op de F8-toets op uw toetsenbord totdat u het menu Geavanceerde opties van Windows ziet, en selecteer vervolgens Veilige modus met netwerkmogelijkheden uit de lijst.

Video die laat zien hoe Windows 7 in "Veilige modus met netwerkmogelijkheden" wordt gestart:
Gebruikers van Windows 8: Start Windows 8 in Veilige modus met netwerkmogelijkheden - Ga naar het startscherm van Windows 8, typ Geavanceerd, selecteer in de zoekresultaten Instellingen. Klik op Geavanceerde opstartopties, selecteer in het geopende venster "Algemene pc-instellingen" Geavanceerd opstarten.
Klik op de knop "Nu opnieuw opstarten". Uw computer start nu opnieuw op in het menu "Geavanceerde opstartopties". Klik op de knop "Problemen oplossen" en klik vervolgens op de knop "Geavanceerde opties". Klik in het scherm met geavanceerde opties op "Opstartinstellingen".
Klik op de knop "Opnieuw opstarten". Uw pc start opnieuw op in het scherm Opstartinstellingen. Druk op F5 om op te starten in de Veilige modus met netwerkmogelijkheden.

Video die laat zien hoe Windows 8 in "Veilige modus met netwerkmogelijkheden" wordt gestart:
Gebruikers van Windows 10: Klik op het Windows-logo en selecteer het Energie-pictogram. Klik in het geopende menu op "Opnieuw opstarten" terwijl u de "Shift"-toets op uw toetsenbord ingedrukt houdt. Klik in het venster "Kies een optie" op "Problemen oplossen" en selecteer vervolgens "Geavanceerde opties".
Selecteer in het menu met geavanceerde opties "Opstartinstellingen" en klik op de knop "Opnieuw opstarten". Klik in het volgende venster op de "F5"-toets op uw toetsenbord. Hierdoor start uw besturingssysteem opnieuw op in de veilige modus met netwerkmogelijkheden.

Video die laat zien hoe Windows 10 in "Veilige modus met netwerkmogelijkheden" wordt gestart:
Pak het gedownloade archief uit en voer het bestand Autoruns.exe uit.

Klik in de Autoruns-applicatie op "Options" bovenaan en schakel de opties "Hide Empty Locations" en "Hide Windows Entries" uit. Klik na deze procedure op het pictogram "Refresh".

Controleer de lijst die door de Autoruns-applicatie wordt verstrekt en zoek het malwarebestand dat u wilt elimineren.
U moet het volledige pad en de naam noteren. Houd er rekening mee dat sommige malware procesnamen verbergt onder legitieme Windows-procesnamen. In dit stadium is het erg belangrijk om te voorkomen dat u systeembestanden verwijdert. Nadat u het verdachte programma dat u wilt verwijderen hebt gevonden, klikt u met de rechtermuisknop op de naam ervan en kiest u "Delete".

Nadat u de malware via de Autoruns-applicatie hebt verwijderd (dit zorgt ervoor dat de malware niet automatisch draait bij de volgende systeemstart), moet u op uw computer zoeken naar de malwarenaam. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u doorgaat. Als u de bestandsnaam van de malware vindt, zorg er dan voor dat u deze verwijdert.

Start uw computer opnieuw op in de normale modus. Het volgen van deze stappen zou alle malware van uw computer moeten verwijderen. Houd er rekening mee dat handmatige dreigingsverwijdering geavanceerde computervaardigheden vereist. Als u deze vaardigheden niet hebt, laat de malwareverwijdering dan over aan antivirus- en anti-malwareprogramma's.
Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het beter om infectie te voorkomen dan om later te proberen malware te verwijderen. Om uw computer veilig te houden, installeert u de nieuwste updates voor het besturingssysteem en gebruikt u antivirussoftware. Om er zeker van te zijn dat uw computer vrij is van malware-infecties, raden we aan deze te scannen met Combo Cleaner Antivirus voor Windows.
Veelgestelde vragen (FAQ)
Mijn computer is geïnfecteerd met SCMBANKER Trojan-malware, moet ik mijn opslagapparaat formatteren om ervan af te komen?
Het opnieuw formatteren van het opslagapparaat verwijdert SCMBANKER Trojan, maar het wist ook alle gegevens op de schijf. Het uitvoeren van een vertrouwde beveiligingstool zoals Combo Cleaner is de aanbevolen eerste stap, omdat het de infectie kan verwijderen zonder persoonlijke bestanden te vernietigen.
Wat zijn de grootste problemen die SCMBANKER Trojan-malware kan veroorzaken?
SCMBANKER Trojan kan directe financiële verliezen veroorzaken door CLABE-rekeningnummers en kaartnummers in het klembord stilletjes te vervangen, waardoor overschrijvingen naar door aanvallers beheerde rekeningen worden omgeleid. Het geeft aanvallers ook controle op afstand over de geïnfecteerde computer, wat kan leiden tot verdere gegevensdiefstal en aanvullende malware-infecties.
Wat is het doel van SCMBANKER Trojan-malware?
Het doel van SCMBANKER Trojan is het plegen van bankfraude tegen gebruikers van Mexicaanse financiële instellingen. Het doet dit door nep-bankbeveiligingswaarschuwingen weer te geven, klembordinhoud te kapen om overschrijvingen om te leiden, en operators live controle op afstand over de computer van het slachtoffer te geven.
Hoe is SCMBANKER Trojan-malware mijn computer binnengedrongen?
SCMBANKER Trojan verspreidt zich via ClickFix-achtige nep-CAPTCHA-pagina's die bezoekers instrueren om een kwaadaardig commando in het dialoogvenster Uitvoeren van Windows te plakken. Meer in het algemeen bereiken dreigingen van dit type slachtoffers ook via phishing-e-mails, gecompromitteerde websites en kwaadaardige softwaredownloads.
Beschermt Combo Cleaner mij tegen malware?
Ja. Combo Cleaner kan SCMBANKER Trojan en soortgelijke dreigingen detecteren en verwijderen. Omdat deze malware meerdere persistentiecomponenten installeert, is het uitvoeren van een volledige systeemscan belangrijk om er zeker van te zijn dat alle onderdelen van de infectie grondig worden geëlimineerd.
Delen:
Tomas Meskauskas
Deskundig beveiligingsonderzoeker, professioneel malware-analist
Ik ben gepassioneerd door computerbeveiliging en -technologie. Ik ben al meer dan 10 jaar werkzaam in verschillende bedrijven die op zoek zijn naar oplossingen voor computertechnische problemen en internetbeveiliging. Ik werk sinds 2010 als auteur en redacteur voor PCrisk. Volg mij op Twitter en LinkedIn om op de hoogte te blijven van de nieuwste online beveiligingsrisico's.
Het beveiligingsportaal PCrisk wordt aangeboden door het bedrijf RCS LT.
Gecombineerde krachten van beveiligingsonderzoekers helpen computergebruikers voorlichten over de nieuwste online beveiligingsrisico's. Meer informatie over het bedrijf RCS LT.
Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.
DonerenHet beveiligingsportaal PCrisk wordt aangeboden door het bedrijf RCS LT.
Gecombineerde krachten van beveiligingsonderzoekers helpen computergebruikers voorlichten over de nieuwste online beveiligingsrisico's. Meer informatie over het bedrijf RCS LT.
Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.
Doneren



▼ Toon discussie