Cómo eliminar el troyano SCMBANKER del sistema operativo

Troyano

Conocido también como: malware SCMBANKER

Nivel de peligrosidad:

Obtenga un escaneo gratuito y verifique si su computadora está infectada.

ELIMÍNELO AHORA

Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

¿Qué tipo de malware es el troyano SCMBANKER?

El troyano SCMBANKER es un troyano bancario desarrollado en PowerShell y dirigido a usuarios de instituciones financieras mexicanas. Según una investigación de Elastic Security Labs, forma parte de una campaña de fraude activa y asistida por operadores, rastreada como REF6045.

El malware se distribuye a través de páginas CAPTCHA falsas de ClickFix que engañan a las víctimas para que ejecuten un comando malicioso. Una vez instalado, muestra alertas de seguridad bancarias falsas diseñadas para asustar a las víctimas y hacer que llamen a números de teléfono controlados por los atacantes.

SCMBANKER también secuestra el portapapeles, reemplazando silenciosamente los números de cuenta CLABE y los números de tarjetas de pago por alternativas controladas por los atacantes para redirigir las transferencias bancarias. Una herramienta comercial de acceso remoto instalada junto con el malware otorga a los operadores control en vivo de la máquina infectada.

Malware troyano SCMBANKER

Descripción general del troyano SCMBANKER

SCMBANKER está estructurado como un conjunto de herramientas modular, en el que cada script de PowerShell se encarga de una parte concreta de la operación de fraude. Según lo documentado por Elastic Security Labs, la campaña se basa en un panel de control operado en vivo, lo que significa que personas reales supervisan las máquinas infectadas y emiten comandos casi en tiempo real.

El malware envía una baliza de comando y control al servidor del atacante cada 30 segundos. Cada notificación informa del nombre de la máquina, un ID de cliente único, las direcciones IP locales y públicas, y el estado de los componentes instalados. Los operadores envían comandos de vuelta a través de archivos de texto alojados en el mismo servidor.

Durante la instalación, se muestra una pantalla falsa de actualización de Windows para distraer a la víctima mientras el conjunto de herramientas de malware se descarga en segundo plano. La víctima ve lo que parece ser una actualización rutinaria del sistema en curso, lo que da al malware tiempo para instalarse sin ser detectado.

Capacidades de fraude bancario

SCMBANKER supervisa continuamente qué ventanas están abiertas en el equipo infectado. Cuando detecta un título que coincide con un banco mexicano, una plataforma fintech, un procesador de pagos, una casa de cambio de criptomonedas o el SAT (la autoridad tributaria de México), comienza de inmediato a capturar capturas de pantalla a un ritmo rápido.

En ese momento, el malware puede mostrar una página falsa de seguridad bancaria en el navegador, diseñada para parecer una advertencia real del propio banco de la víctima. Estas páginas mencionan vagos problemas de seguridad, muestran un número de referencia falso e instan a la víctima a llamar a un número de teléfono controlado por los atacantes.

SCMBANKER también puede redirigir a la víctima a un portal bancario falso por completo. Coloca una URL de phishing en el portapapeles y luego simula pulsaciones de teclas para abrirla en el navegador, reemplazando el sitio bancario real sin ningún signo evidente de que se ha producido un cambio.

Secuestro del portapapeles y acceso remoto

En segundo plano, SCMBANKER supervisa el portapapeles en busca de números CLABE (identificadores de enrutamiento bancario mexicanos de 18 dígitos) y números de tarjeta de pago de 16 dígitos. Cuando se detecta cualquiera de los dos formatos, el valor se reemplaza silenciosamente por otro cargado desde un archivo de configuración en el servidor del atacante.

El conjunto de herramientas instala Remote Utilities, una aplicación comercial legítima de acceso remoto, configurada para conectarse silenciosamente a la infraestructura de los operadores. Esto proporciona a los atacantes acceso en vivo a la pantalla, control total del teclado y el ratón, y la capacidad de interactuar directamente con el equipo de la víctima.

El malware también incluye un módulo de registro de pulsaciones de teclas capaz de grabar todo lo que la víctima escribe y transmitirlo a un canal de Telegram controlado por el atacante.

Persistencia y evasión de defensas

SCMBANKER utiliza varios métodos para sobrevivir a los reinicios. Escribe un comando de inicio en la clave Run del Registro de Windows, asegurándose de que se inicia automáticamente al iniciar sesión. También se copia un archivo VBScript en la carpeta de Inicio de Windows como mecanismo de persistencia de respaldo.

El malware oculta todos sus archivos aplicando atributos de oculto y de sistema, haciéndolos invisibles en las vistas estándar de carpetas. También elimina el registro de desinstalación del componente Remote Utilities, impidiendo que aparezca en la lista de programas instalados.

Durante la instalación, un bucle de omisión de UAC vuelve a intentarlo cada 20 segundos hasta que se concede el acceso de administrador. El malware también atrapa brevemente el cursor del ratón en un solo píxel de la pantalla, impidiendo que la víctima interactúe con el equipo mientras el conjunto de herramientas se descarga en segundo plano.

Resumen de la Amenaza:
Nombre malware SCMBANKER
Tipo De Amenaza Troyano bancario, Troyano, Clipper, Troyano de acceso remoto (RAT)
Nombres De Detección AliCloud (Trojan:Win/Agent.dds), Huorong (HEUR:Trojan/Runner.e), Ikarus (Trojan.VBS.Agent), Kaspersky (Trojan.VBS.Agent.dar), Lista Completa (VirusTotal)
Síntomas Los troyanos bancarios están diseñados para infiltrarse sigilosamente en el equipo de la víctima y permanecer en silencio. SCMBANKER puede mostrar páginas falsas de seguridad bancaria cuando los sitios bancarios están activos; fuera de esos momentos, no hay síntomas particulares claramente visibles en una máquina infectada.
Métodos De Distribución ClickFix, sitios web engañosos, ingeniería social.
Daño Fraude bancario y robo financiero, secuestro del portapapeles (números CLABE y datos de tarjetas reemplazados silenciosamente), acceso remoto no autorizado al equipo de la víctima, robo de identidad, posibilidad de infecciones de malware adicionales.
Eliminación de Malware

Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner.

Descargue Combo Cleaner para Windows

El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Conclusión

El troyano SCMBANKER representa un riesgo financiero directo para los usuarios de servicios bancarios mexicanos. Al combinar superposiciones bancarias falsas, secuestro del portapapeles y acceso remoto controlado por operadores, puede interceptar transferencias bancarias reales mientras mantiene a la víctima completamente ajena a lo que está sucediendo.

Las víctimas pueden sufrir pérdidas financieras significativas, robo de identidad y el control remoto total de su equipo por parte de los atacantes. Los múltiples mecanismos de persistencia del malware y el uso de una herramienta legítima de acceso remoto hacen que sea difícil de detectar sin software de seguridad dedicado. Debe eliminarse de inmediato.

Más ejemplos de troyanos bancarios son Maverick, CHAVECLOAK y Tinynuke.

¿Cómo se infiltró el troyano SCMBANKER en mi equipo?

Según lo documentado por Elastic Security Labs, SCMBANKER se distribuye a través de páginas falsas de CAPTCHA de tipo ClickFix. Estas páginas están alojadas en dominios controlados por los atacantes, escritas en español y diseñadas para atacar específicamente a los usuarios de internet mexicanos.

Los visitantes ven lo que parece ser una verificación estándar. La página les indica que pulsen la tecla Windows y R para abrir el cuadro de diálogo Ejecutar, peguen un comando y pulsen Intro. Ejecutar ese comando descarga y ejecuta el conjunto de herramientas de malware desde un servidor controlado por los atacantes.

Una vez que se ejecuta el script, aparece una pantalla falsa de actualización de Windows mientras el malware se instala en segundo plano. De forma más general, amenazas como SCMBANKER también llegan a las víctimas a través de correos electrónicos de phishing, sitios web comprometidos y descargas maliciosas de fuentes poco fiables.

¿Cómo evitar la instalación de malware?

Desconfíe de cualquier sitio web que le pida pegar un comando en el cuadro de diálogo Ejecutar de Windows, PowerShell o un terminal. Los servicios legítimos nunca requieren este paso. Descargue software solo desde los sitios web oficiales de los desarrolladores y evite el contenido pirateado, los generadores de claves y los cracks de software.

Mantenga su sistema operativo y todo el software actualizado, y utilice un programa de seguridad de confianza para realizar análisis periódicos. Evite conceder permisos de notificación a sitios web desconocidos y tenga cuidado con las ventanas emergentes o los anuncios inesperados. Si cree que su equipo ya está infectado, le recomendamos ejecutar un análisis con Combo Cleaner Antivirus para Windows para eliminar automáticamente el malware infiltrado.

Página falsa de CAPTCHA (ClickFix) utilizada para distribuir el troyano SCMBANKER (fuente: elastic.co):

Página falsa de CAPTCHA de distribución ClickFix del troyano SCMBANKER

Pantalla falsa de actualización de Windows mostrada como distracción durante la instalación del troyano SCMBANKER (fuente: elastic.co):

Pantalla falsa de distracción de actualización de Windows del troyano SCMBANKER

Páginas falsas de seguridad bancaria mostradas por el troyano SCMBANKER a las víctimas (fuente: elastic.co):

Página 1 de superposición falsa de seguridad bancaria del troyano SCMBANKER Página 2 de superposición falsa de seguridad bancaria del troyano SCMBANKER Página 3 de superposición falsa de seguridad bancaria del troyano SCMBANKER

Eliminación automática instantánea de malware:

La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:

DESCARGAR Combo Cleaner

Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Menú rápido:

¿Cómo eliminar malware manualmente?

La eliminación manual de malware es una tarea complicada; por lo general, es mejor permitir que los programas antivirus o antimalware lo hagan automáticamente. Para eliminar este malware recomendamos usar Combo Cleaner Antivirus para Windows.

Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. Aquí tiene un ejemplo de un programa sospechoso que se ejecuta en el equipo de un usuario:

Proceso de malware ejecutándose en el Administrador de tareas

Si comprobó la lista de programas que se ejecutan en su equipo, por ejemplo, usando el administrador de tareas, e identificó un programa que parece sospechoso, debe continuar con estos pasos:

eliminación manual de malware paso 1Descargue un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, el Registro y las ubicaciones del sistema de archivos:

Apariencia de la aplicación Autoruns

eliminación manual de malware paso 2Reinicie su equipo en Modo Seguro:

Usuarios de Windows XP y Windows 7: Inicie su equipo en Modo Seguro. Haga clic en Inicio, haga clic en Apagar, haga clic en Reiniciar, haga clic en Aceptar. Durante el proceso de inicio de su equipo, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, y luego seleccione Modo Seguro con funciones de red de la lista.

Ejecutar Windows 7 o Windows XP en Modo Seguro con funciones de red

Vídeo que muestra cómo iniciar Windows 7 en «Modo Seguro con funciones de red»:

Usuarios de Windows 8: Inicie Windows 8 en Modo Seguro con funciones de red - Vaya a la pantalla de Inicio de Windows 8, escriba Avanzado, en los resultados de la búsqueda seleccione Configuración. Haga clic en Opciones de inicio avanzado, en la ventana abierta «Configuración general del PC», seleccione Inicio avanzado.

Haga clic en el botón «Reiniciar ahora». Su equipo se reiniciará ahora en el «menú de opciones de inicio avanzado». Haga clic en el botón «Solucionar problemas» y luego haga clic en el botón «Opciones avanzadas». En la pantalla de opciones avanzadas, haga clic en «Configuración de inicio».

Haga clic en el botón «Reiniciar». Su PC se reiniciará en la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo Seguro con funciones de red.

Ejecutar Windows 8 en Modo Seguro con funciones de red

Vídeo que muestra cómo iniciar Windows 8 en «Modo Seguro con funciones de red»:

Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de Encendido. En el menú abierto haga clic en «Reiniciar» mientras mantiene pulsada la tecla «Mayús» de su teclado. En la ventana «elegir una opción» haga clic en «Solucionar problemas», luego seleccione «Opciones avanzadas».

En el menú de opciones avanzadas seleccione «Configuración de inicio» y haga clic en el botón «Reiniciar». En la siguiente ventana debe hacer clic en el botón «F5» de su teclado. Esto reiniciará su sistema operativo en modo seguro con funciones de red.

Ejecutar Windows 10 en Modo Seguro con funciones de red

Vídeo que muestra cómo iniciar Windows 10 en «Modo Seguro con funciones de red»:

eliminación manual de malware paso 3Extraiga el archivo descargado y ejecute el archivo Autoruns.exe.

Extraer el archivo Autoruns.zip y ejecutar la aplicación Autoruns.exe

eliminación manual de malware paso 4En la aplicación Autoruns, haga clic en «Opciones» en la parte superior y desmarque las opciones «Ocultar ubicaciones vacías» y «Ocultar entradas de Windows». Después de este procedimiento, haga clic en el icono «Actualizar».

Actualizar los resultados de la aplicación Autoruns

eliminación manual de malware paso 5Compruebe la lista proporcionada por la aplicación Autoruns y localice el archivo de malware que desea eliminar.

Debe anotar su ruta y nombre completos. Tenga en cuenta que algún malware oculta los nombres de los procesos bajo nombres de procesos legítimos de Windows. En esta etapa, es muy importante evitar eliminar archivos del sistema. Después de localizar el programa sospechoso que desea eliminar, haga clic con el botón derecho del ratón sobre su nombre y elija «Eliminar».

Eliminar malware en Autoruns

Después de eliminar el malware mediante la aplicación Autoruns (esto asegura que el malware no se ejecutará automáticamente en el próximo inicio del sistema), debe buscar el nombre del malware en su equipo. Asegúrese de habilitar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre de archivo del malware, asegúrese de eliminarlo.

Buscar el malware y eliminarlo

Reinicie su equipo en modo normal. Seguir estos pasos debería eliminar cualquier malware de su equipo. Tenga en cuenta que la eliminación manual de amenazas requiere conocimientos informáticos avanzados. Si no posee estos conocimientos, deje la eliminación de malware a los programas antivirus y antimalware.

Es posible que estos pasos no funcionen con infecciones de malware avanzadas. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener su equipo seguro, instale las últimas actualizaciones del sistema operativo y utilice software antivirus. Para asegurarse de que su equipo esté libre de infecciones de malware, recomendamos analizarlo con Combo Cleaner Antivirus para Windows.

Preguntas frecuentes (FAQ)

Mi equipo está infectado con el malware troyano SCMBANKER, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?

Reformatear el dispositivo de almacenamiento eliminará el troyano SCMBANKER, pero también borrará todos los datos de la unidad. Ejecutar una herramienta de seguridad de confianza como Combo Cleaner es el primer paso recomendado, ya que puede eliminar la infección sin destruir los archivos personales.

¿Cuáles son los mayores problemas que puede causar el malware troyano SCMBANKER?

El troyano SCMBANKER puede causar pérdidas financieras directas al reemplazar silenciosamente los números de cuenta CLABE y los números de tarjeta en el portapapeles, desviando las transferencias a cuentas controladas por los atacantes. También proporciona a los atacantes el control remoto del equipo infectado, lo que puede conducir a un mayor robo de datos e infecciones de malware adicionales.

¿Cuál es el propósito del malware troyano SCMBANKER?

El propósito del troyano SCMBANKER es cometer fraude bancario contra los usuarios de instituciones financieras mexicanas. Lo hace mostrando alertas falsas de seguridad bancaria, secuestrando el contenido del portapapeles para redirigir transferencias y proporcionando a los operadores el control remoto en vivo del equipo de la víctima.

¿Cómo se infiltró el malware troyano SCMBANKER en mi equipo?

El troyano SCMBANKER se propaga a través de páginas falsas de CAPTCHA de tipo ClickFix que instruyen a los visitantes a pegar un comando malicioso en el cuadro de diálogo Ejecutar de Windows. De forma más general, las amenazas de este tipo también llegan a las víctimas a través de correos electrónicos de phishing, sitios web comprometidos y descargas de software malicioso.

¿Me protegerá Combo Cleaner del malware?

Sí. Combo Cleaner puede detectar y eliminar el troyano SCMBANKER y amenazas similares. Debido a que este malware instala múltiples componentes de persistencia, es importante ejecutar un análisis completo del sistema para asegurarse de que todas las partes de la infección se eliminen por completo.

Compartir:

facebook
X (Twitter)
linkedin
copiar enlace
Tomas Meskauskas

Tomas Meskauskas

Investigador experto en seguridad, analista profesional de malware

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet.

▼ Mostrar discusión

El portal de seguridad PCrisk es ofrecido por la empresa RCS LT.

Investigadores de seguridad han unido fuerzas para ayudar a educar a los usuarios de ordenadores sobre las últimas amenazas de seguridad en línea. Más información sobre la empresa RCS LT.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Donar