Como remover o SCMBANKER Trojan do sistema operativo
TrojanTambém conhecido como: malware SCMBANKER
Faça uma verificação gratuita e verifique se o seu computador está infectado.
REMOVER AGORAPara usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.
Que tipo de malware é o SCMBANKER Trojan?
O SCMBANKER Trojan é um trojan bancário desenvolvido em PowerShell e direcionado a utilizadores de instituições financeiras mexicanas. De acordo com uma investigação da Elastic Security Labs, faz parte de uma campanha de fraude ativa, assistida por operadores, monitorizada como REF6045.
O malware é distribuído através de páginas falsas de CAPTCHA do ClickFix que enganam as vítimas para que executem um comando malicioso. Uma vez instalado, exibe alertas falsos de segurança bancária concebidos para provocar pânico nas vítimas e levá-las a ligar para números de telefone controlados pelos atacantes.
O SCMBANKER também sequestra a área de transferência, substituindo silenciosamente números de conta CLABE e números de cartões de pagamento por alternativas controladas pelos atacantes, de forma a redirecionar transferências bancárias. Uma ferramenta comercial de acesso remoto instalada juntamente com o malware confere aos operadores controlo em tempo real da máquina infetada.

Visão geral do trojan SCMBANKER
O SCMBANKER está estruturado como um kit de ferramentas modular, com cada script PowerShell responsável por uma parte distinta da operação de fraude. Conforme documentado pela Elastic Security Labs, a campanha depende de um painel de operador ao vivo, o que significa que humanos reais monitorizam as máquinas infetadas e emitem comandos quase em tempo real.
O malware envia um sinal de comando e controlo ao servidor do atacante a cada 30 segundos. Cada verificação reporta o nome da máquina, um ID de cliente único, endereços IP locais e públicos, e o estado dos componentes instalados. Os operadores enviam comandos de volta através de ficheiros de texto alojados no mesmo servidor.
Durante a instalação, é apresentado um ecrã falso de Atualização do Windows para distrair a vítima enquanto o kit de ferramentas do malware é descarregado em segundo plano. A vítima vê aquilo que parece ser uma atualização de sistema de rotina em curso, dando ao malware tempo para se configurar sem ser detetado.
Capacidades de fraude bancária
O SCMBANKER monitoriza continuamente quais janelas estão abertas no computador infetado. Quando deteta um título que corresponde a um banco mexicano, plataforma fintech, processador de pagamentos, exchange de criptomoedas, ou o SAT (a autoridade fiscal do México), começa imediatamente a capturar capturas de ecrã a um ritmo rápido.
Nesse momento, o malware pode apresentar uma página falsa de segurança bancária no navegador, concebida para parecer um aviso real do próprio banco da vítima. Estas páginas citam problemas de segurança vagos, mostram um número de referência falso, e instam a vítima a ligar para um número de telefone controlado pelos atacantes.
O SCMBANKER também pode redirecionar a vítima para um portal bancário falso por completo. Coloca um URL de phishing na área de transferência e depois simula pressionamentos de teclas para o abrir no navegador, substituindo o site bancário real sem qualquer sinal óbvio de que ocorreu uma alteração.
Sequestro da área de transferência e acesso remoto
Em segundo plano, o SCMBANKER monitoriza a área de transferência à procura de números CLABE (identificadores de encaminhamento bancário mexicanos de 18 dígitos) e números de cartão de pagamento de 16 dígitos. Quando qualquer um dos formatos é detetado, o valor é substituído silenciosamente por uma alternativa carregada a partir de um ficheiro de configuração no servidor do atacante.
O kit de ferramentas instala o Remote Utilities, uma aplicação comercial legítima de acesso remoto, configurada para se ligar silenciosamente à infraestrutura do operador. Isto dá aos atacantes acesso ao ecrã em tempo real, controlo total do teclado e do rato, e a capacidade de interagir diretamente com o computador da vítima.
O malware também inclui um módulo de keylogging capaz de registar tudo o que a vítima escreve e transmiti-lo para um canal do Telegram controlado pelo atacante.
Persistência e evasão de defesas
O SCMBANKER utiliza vários métodos para sobreviver a reinicializações. Escreve um comando de arranque na chave Run do Registo do Windows, garantindo que arranca automaticamente no início de sessão. Um ficheiro VBScript também é copiado para a pasta de Arranque do Windows como um mecanismo de persistência de reserva.
O malware oculta todos os seus ficheiros aplicando atributos de oculto e de sistema, tornando-os invisíveis nas vistas padrão de pastas. Também remove o registo de desinstalação do componente Remote Utilities, impedindo que apareça na lista de programas instalados.
Durante a instalação, um ciclo de bypass do UAC tenta novamente a cada 20 segundos até que o acesso de administrador seja concedido. O malware também prende brevemente o cursor do rato a um único pixel no ecrã, impedindo a vítima de interagir com o computador enquanto o kit de ferramentas é descarregado em segundo plano.
| Nome | malware SCMBANKER |
| Tipo De Ameaça | Trojan bancário, Trojan, Clipper, Trojan de Acesso Remoto (RAT) |
| Nomes De Deteção | AliCloud (Trojan:Win/Agent.dds), Huorong (HEUR:Trojan/Runner.e), Ikarus (Trojan.VBS.Agent), Kaspersky (Trojan.VBS.Agent.dar), Lista Completa (VirusTotal) |
| Sintomas | Os trojans bancários são concebidos para se infiltrarem furtivamente no computador da vítima e permanecerem silenciosos. O SCMBANKER pode apresentar páginas falsas de segurança bancária quando os sites de bancos estão ativos; fora desses momentos, não são claramente visíveis quaisquer sintomas específicos numa máquina infetada. |
| Métodos De Distribuição | ClickFix, sites enganadores, engenharia social. |
| Dano | Fraude bancária e roubo financeiro, sequestro da área de transferência (números CLABE e detalhes de cartões substituídos silenciosamente), acesso remoto não autorizado ao computador da vítima, roubo de identidade, potencial para infeções adicionais de malware. |
| Remoção do Malware (Windows) |
Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. Descarregar Combo CleanerO verificador gratuito verifica se o seu computador está infectado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk. |
Conclusão
O trojan SCMBANKER representa um risco financeiro direto para os utilizadores de serviços bancários mexicanos. Ao combinar sobreposições bancárias falsas, sequestro da área de transferência e acesso remoto controlado pelo operador, pode intercetar transferências bancárias reais mantendo a vítima completamente inconsciente do que está a acontecer.
As vítimas podem sofrer perdas financeiras significativas, roubo de identidade e controlo remoto total dos seus computadores pelos atacantes. Os múltiplos mecanismos de persistência do malware e o uso de uma ferramenta legítima de acesso remoto tornam-no difícil de detetar sem software de segurança dedicado. Deve ser removido imediatamente.
Mais exemplos de trojans bancários são o Maverick, o CHAVECLOAK e o Tinynuke.
Como é que o trojan SCMBANKER se infiltrou no meu computador?
Conforme documentado pela Elastic Security Labs, o SCMBANKER é distribuído através de páginas de CAPTCHA falsas do tipo ClickFix. Estas páginas estão alojadas em domínios controlados pelos atacantes, escritas em espanhol, e concebidas para visar especificamente os utilizadores de internet mexicanos.
Os visitantes veem aquilo que parece ser uma verificação padrão. A página instrui-os a pressionar a tecla Windows e R para abrir a caixa de diálogo Executar, colar um comando, e pressionar Enter. Executar esse comando descarrega e executa o kit de ferramentas do malware a partir de um servidor controlado pelos atacantes.
Assim que o script é executado, aparece um ecrã falso de Atualização do Windows enquanto o malware se instala em segundo plano. De forma mais ampla, ameaças como o SCMBANKER também chegam às vítimas através de e-mails de phishing, sites comprometidos, e descarregamentos maliciosos de fontes não fiáveis.
Como evitar a instalação de malware?
Desconfie de qualquer site que lhe peça para colar um comando na caixa de diálogo Executar do Windows, no PowerShell, ou num terminal. Os serviços legítimos nunca exigem este passo. Descarregue software apenas a partir de sites oficiais de programadores e evite conteúdo pirateado, geradores de chaves e cracks de software.
Mantenha o seu sistema operativo e todo o software atualizado, e use um programa de segurança reputado para executar verificações regulares. Evite conceder permissões de notificação a sites desconhecidos e tenha cuidado com pop-ups ou anúncios inesperados. Se acredita que o seu computador já está infetado, recomendamos executar uma verificação com o Combo Cleaner Antivirus para Windows para eliminar automaticamente o malware infiltrado.
Página de CAPTCHA falsa (ClickFix) usada para distribuir o trojan SCMBANKER (fonte: elastic.co):

Ecrã falso de Atualização do Windows apresentado como distração durante a instalação do trojan SCMBANKER (fonte: elastic.co):

Páginas falsas de segurança bancária apresentadas pelo trojan SCMBANKER às vítimas (fonte: elastic.co):
Remoção automática instantânea do malware:
A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:
DESCARREGAR Combo CleanerAo descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.
Menu rápido:
- O que é o trojan SCMBANKER?
- PASSO 1. Remoção manual do malware trojan SCMBANKER.
- PASSO 2. Verifique se o seu computador está limpo.
Como remover malware manualmente?
A remoção manual de malware é uma tarefa complicada - normalmente é melhor permitir que os programas antivírus ou antimalware o façam automaticamente. Para remover este malware, recomendamos usar o Combo Cleaner Antivirus para Windows.
Se pretender remover o malware manualmente, o primeiro passo é identificar o nome do malware que está a tentar remover. Aqui está um exemplo de um programa suspeito em execução no computador de um utilizador:

Se verificou a lista de programas em execução no seu computador, por exemplo, usando o gestor de tarefas, e identificou um programa que parece suspeito, deve continuar com estes passos:
Descarregue um programa chamado Autoruns. Este programa mostra aplicações de arranque automático, o Registo, e localizações do sistema de ficheiros:

Reinicie o seu computador em Modo de Segurança:
Utilizadores de Windows XP e Windows 7: Inicie o seu computador em Modo de Segurança. Clique em Iniciar, clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de arranque do computador, pressione a tecla F8 no seu teclado várias vezes até ver o menu de Opções Avançadas do Windows, e depois selecione Modo de Segurança com Rede a partir da lista.

Vídeo a mostrar como iniciar o Windows 7 em "Modo de Segurança com Rede":
Utilizadores de Windows 8: Inicie o Windows 8 em Modo de Segurança com Rede - Vá para o Ecrã Inicial do Windows 8, escreva Avançado, nos resultados da pesquisa selecione Definições. Clique em Opções de arranque avançadas, na janela aberta "Definições Gerais do PC", selecione Arranque avançado.
Clique no botão "Reiniciar agora". O seu computador irá agora reiniciar para o "menu de opções de Arranque Avançado". Clique no botão "Resolução de problemas" e depois clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de arranque".
Clique no botão "Reiniciar". O seu PC irá reiniciar para o ecrã de Definições de Arranque. Pressione F5 para arrancar em Modo de Segurança com Rede.

Vídeo a mostrar como iniciar o Windows 8 em "Modo de Segurança com Rede":
Utilizadores de Windows 10: Clique no logótipo do Windows e selecione o ícone de Energia. No menu aberto, clique em "Reiniciar" enquanto mantém pressionado o botão "Shift" no seu teclado. Na janela "escolha uma opção", clique em "Resolução de problemas" e depois selecione "Opções avançadas".
No menu de opções avançadas, selecione "Definições de Arranque" e clique no botão "Reiniciar". Na janela seguinte, deve clicar no botão "F5" no seu teclado. Isto irá reiniciar o seu sistema operativo em modo de segurança com rede.

Vídeo a mostrar como iniciar o Windows 10 em "Modo de Segurança com Rede":
Extraia o arquivo descarregado e execute o ficheiro Autoruns.exe.

Na aplicação Autoruns, clique em "Options" no topo e desmarque as opções "Hide Empty Locations" e "Hide Windows Entries". Após este procedimento, clique no ícone "Refresh".

Verifique a lista fornecida pela aplicação Autoruns e localize o ficheiro de malware que pretende eliminar.
Deve anotar o seu caminho completo e nome. Note que algum malware oculta nomes de processos sob nomes de processos legítimos do Windows. Nesta fase, é muito importante evitar remover ficheiros do sistema. Depois de localizar o programa suspeito que pretende remover, clique com o botão direito do rato sobre o seu nome e escolha "Delete".

Depois de remover o malware através da aplicação Autoruns (isto garante que o malware não será executado automaticamente no próximo arranque do sistema), deve procurar o nome do malware no seu computador. Certifique-se de ativar os ficheiros e pastas ocultos antes de prosseguir. Se encontrar o nome do ficheiro do malware, certifique-se de o remover.

Reinicie o seu computador em modo normal. Seguir estes passos deverá remover qualquer malware do seu computador. Note que a remoção manual de ameaças requer competências informáticas avançadas. Se não possui estas competências, deixe a remoção de malware para os programas antivírus e antimalware.
Estes passos podem não funcionar com infeções de malware avançadas. Como sempre, é melhor prevenir a infeção do que tentar remover o malware mais tarde. Para manter o seu computador seguro, instale as atualizações mais recentes do sistema operativo e use software antivírus. Para ter a certeza de que o seu computador está livre de infeções de malware, recomendamos verificá-lo com o Combo Cleaner Antivirus para Windows.
Perguntas Frequentes (FAQ)
O meu computador está infetado com o malware trojan SCMBANKER, devo formatar o meu dispositivo de armazenamento para me livrar dele?
Reformatar o dispositivo de armazenamento irá remover o trojan SCMBANKER, mas também irá apagar todos os dados na unidade. Executar uma ferramenta de segurança de confiança como o Combo Cleaner é o primeiro passo recomendado, pois pode remover a infeção sem destruir ficheiros pessoais.
Quais são os maiores problemas que o malware trojan SCMBANKER pode causar?
O trojan SCMBANKER pode causar perdas financeiras diretas ao substituir silenciosamente números de conta CLABE e números de cartão na área de transferência, desviando transferências para contas controladas pelos atacantes. Também dá aos atacantes controlo remoto do computador infetado, o que pode levar a mais roubo de dados e infeções adicionais de malware.
Qual é o objetivo do malware trojan SCMBANKER?
O objetivo do trojan SCMBANKER é cometer fraude bancária contra utilizadores de instituições financeiras mexicanas. Fá-lo apresentando alertas falsos de segurança bancária, sequestrando o conteúdo da área de transferência para redirecionar transferências, e dando aos operadores controlo remoto em tempo real do computador da vítima.
Como é que o malware trojan SCMBANKER se infiltrou no meu computador?
O trojan SCMBANKER propaga-se através de páginas de CAPTCHA falsas do tipo ClickFix que instruem os visitantes a colar um comando malicioso na caixa de diálogo Executar do Windows. De forma mais ampla, ameaças deste tipo também chegam às vítimas através de e-mails de phishing, sites comprometidos, e descarregamentos de software malicioso.
O Combo Cleaner irá proteger-me de malware?
Sim. O Combo Cleaner pode detetar e remover o trojan SCMBANKER e ameaças semelhantes. Como este malware instala múltiplos componentes de persistência, executar uma verificação completa do sistema é importante para garantir que todas as partes da infeção são eliminadas de forma minuciosa.
Partilhar:
Tomas Meskauskas
Pesquisador especialista em segurança, analista profissional de malware
Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line.
O portal de segurança PCrisk é fornecido pela empresa RCS LT.
Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.
Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.
DoarO portal de segurança PCrisk é fornecido pela empresa RCS LT.
Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.
Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.
Doar



▼ Mostrar comentários