So entfernen Sie den SCMBANKER Trojan aus dem Betriebssystem

Trojaner

Auch bekannt als: SCMBANKER-Malware

Schadenshöhe:

Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist.

JETZT ENTFERNEN

Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.

Was für eine Malware ist der SCMBANKER Trojan?

Der SCMBANKER Trojan ist ein Banking-Trojaner, der in PowerShell entwickelt wurde und auf Nutzer mexikanischer Finanzinstitute abzielt. Laut Untersuchungen von Elastic Security Labs ist er Teil einer aktiven, von Betreibern unterstützten Betrugskampagne, die als REF6045 verfolgt wird.

Die Malware wird über gefälschte ClickFix-CAPTCHA-Seiten verbreitet, die Opfer dazu verleiten, einen bösartigen Befehl auszuführen. Nach der Installation zeigt sie gefälschte Bank-Sicherheitswarnungen an, die darauf ausgelegt sind, die Opfer in Panik zu versetzen, damit sie von den Angreifern kontrollierte Telefonnummern anrufen.

SCMBANKER kapert außerdem die Zwischenablage und ersetzt stillschweigend CLABE-Kontonummern und Zahlungskartennummern durch von den Angreifern kontrollierte Alternativen, um Banküberweisungen umzuleiten. Ein kommerzielles Fernzugriffstool, das zusammen mit der Malware installiert wird, verschafft den Betreibern die Live-Kontrolle über den infizierten Rechner.

SCMBANKER Trojaner-Malware

SCMBANKER Trojaner - Überblick

SCMBANKER ist als modulares Toolkit aufgebaut, wobei jedes PowerShell-Skript für einen bestimmten Teil der Betrugsoperation verantwortlich ist. Wie von Elastic Security Labs dokumentiert, stützt sich die Kampagne auf ein Live-Betreiber-Dashboard, was bedeutet, dass echte Menschen infizierte Rechner überwachen und nahezu in Echtzeit Befehle erteilen.

Die Malware sendet alle 30 Sekunden ein Command-and-Control-Signal an den Server des Angreifers. Bei jedem Check-in werden der Rechnername, eine eindeutige Client-ID, lokale und öffentliche IP-Adressen sowie der Status der installierten Komponenten gemeldet. Die Betreiber senden Befehle über Textdateien zurück, die auf demselben Server gehostet werden.

Während der Installation wird ein gefälschter Windows-Update-Bildschirm angezeigt, um das Opfer abzulenken, während das Malware-Toolkit im Hintergrund heruntergeladen wird. Das Opfer sieht, was wie ein routinemäßiges System-Update aussieht, wodurch die Malware Zeit hat, sich unbemerkt einzurichten.

Bankbetrugsfähigkeiten

SCMBANKER überwacht kontinuierlich, welche Fenster auf dem infizierten Computer geöffnet sind. Wenn es einen Titel erkennt, der zu einer mexikanischen Bank, einer Fintech-Plattform, einem Zahlungsabwickler, einer Kryptowährungsbörse oder der SAT (Mexikos Steuerbehörde) passt, beginnt es sofort, in schneller Abfolge Screenshots aufzunehmen.

Zu diesem Zeitpunkt kann die Malware eine gefälschte Bank-Sicherheitsseite im Browser anzeigen, die wie eine echte Warnung der eigenen Bank des Opfers aussehen soll. Diese Seiten nennen vage Sicherheitsprobleme, zeigen eine gefälschte Referenznummer an und drängen das Opfer dazu, eine von den Angreifern kontrollierte Telefonnummer anzurufen.

SCMBANKER kann das Opfer auch vollständig auf ein gefälschtes Bankportal umleiten. Es legt eine Phishing-URL in die Zwischenablage und simuliert dann Tastatureingaben, um sie im Browser zu öffnen, wobei die echte Bankwebsite ersetzt wird, ohne dass ein offensichtliches Anzeichen für eine Änderung erkennbar ist.

Zwischenablage-Entführung und Fernzugriff

Im Hintergrund überwacht SCMBANKER die Zwischenablage auf CLABE-Nummern (18-stellige mexikanische Bankleitzahl-Kennungen) und 16-stellige Zahlungskartennummern. Wenn eines dieser Formate erkannt wird, wird der Wert stillschweigend durch eine Alternative ersetzt, die aus einer Konfigurationsdatei auf dem Server des Angreifers geladen wird.

Das Toolkit installiert Remote Utilities, eine legitime kommerzielle Fernzugriffsanwendung, die so konfiguriert ist, dass sie sich stillschweigend mit der Betreiberinfrastruktur verbindet. Dies verschafft den Angreifern Live-Bildschirmzugriff, vollständige Tastatur- und Maussteuerung sowie die Möglichkeit, direkt mit dem Computer des Opfers zu interagieren.

Die Malware enthält außerdem ein Keylogging-Modul, das alles aufzeichnen kann, was das Opfer tippt, und es an einen von den Angreifern kontrollierten Telegram-Kanal überträgt.

Persistenz und Abwehrumgehung

SCMBANKER verwendet mehrere Methoden, um Neustarts zu überstehen. Es schreibt einen Startbefehl in den Run-Schlüssel der Windows-Registry, um sicherzustellen, dass es beim Anmelden automatisch startet. Eine VBScript-Datei wird außerdem als Backup-Persistenzmechanismus in den Windows-Autostart-Ordner kopiert.

Die Malware versteckt alle ihre Dateien, indem sie versteckte und Systemattribute anwendet, wodurch sie in Standard-Ordneransichten unsichtbar werden. Sie entfernt außerdem den Deinstallationseintrag für die Remote-Utilities-Komponente, sodass diese nicht in der Liste der installierten Programme erscheint.

Während der Installation versucht eine UAC-Umgehungsschleife alle 20 Sekunden erneut, bis der Administratorzugriff gewährt wird. Die Malware fängt außerdem kurzzeitig den Mauszeiger auf einem einzigen Pixel auf dem Bildschirm ein, um das Opfer daran zu hindern, mit dem Computer zu interagieren, während das Toolkit im Hintergrund heruntergeladen wird.

Bedrohungsübersicht:
Name SCMBANKER-Malware
Bedrohungstyp Banking-Trojaner, Trojaner, Clipper, Remote-Access-Trojaner (RAT)
Erkennungsnamen AliCloud (Trojan:Win/Agent.dds), Huorong (HEUR:Trojan/Runner.e), Ikarus (Trojan.VBS.Agent), Kaspersky (Trojan.VBS.Agent.dar), Vollständige Liste (VirusTotal)
Symptome Banking-Trojaner sind darauf ausgelegt, den Computer des Opfers heimlich zu infiltrieren und unauffällig zu bleiben. SCMBANKER zeigt möglicherweise gefälschte Bank-Sicherheitsseiten an, wenn Bank-Websites aktiv sind; außerhalb dieser Momente sind auf einem infizierten Rechner keine besonderen Symptome deutlich erkennbar.
Verbreitungsmethoden ClickFix, betrügerische Websites, Social Engineering.
Schaden Bankbetrug und finanzieller Diebstahl, Zwischenablage-Entführung (CLABE-Nummern und Kartendaten werden stillschweigend ersetzt), unbefugter Fernzugriff auf den Computer des Opfers, Identitätsdiebstahl, Potenzial für zusätzliche Malware-Infektionen.
Malware-Entfernung (Windows)

Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner.

Combo Cleaner herunterladen

Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.

Fazit

Der SCMBANKER Trojaner stellt ein direktes finanzielles Risiko für Nutzer mexikanischer Bankdienstleistungen dar. Durch die Kombination gefälschter Bank-Overlays, Zwischenablage-Entführung und betreibergesteuertem Fernzugriff kann er echte Banküberweisungen abfangen, während das Opfer völlig ahnungslos bleibt, was geschieht.

Opfer können erhebliche finanzielle Verluste, Identitätsdiebstahl und die vollständige Fernsteuerung ihres Computers durch Angreifer erleiden. Die zahlreichen Persistenzmechanismen der Malware und die Verwendung eines legitimen Fernzugriffs-Tools machen sie ohne dedizierte Sicherheitssoftware schwer erkennbar. Sie sollte umgehend entfernt werden.

Weitere Beispiele für Banking-Trojaner sind Maverick, CHAVECLOAK und Tinynuke.

Wie hat der SCMBANKER Trojaner meinen Computer infiltriert?

Wie von Elastic Security Labs dokumentiert, wird SCMBANKER über gefälschte CAPTCHA-Seiten im ClickFix-Stil verbreitet. Diese Seiten werden auf von Angreifern kontrollierten Domains gehostet, sind auf Spanisch verfasst und speziell darauf ausgelegt, mexikanische Internetnutzer ins Visier zu nehmen.

Besucher sehen, was wie eine Standard-Verifizierungsprüfung aussieht. Die Seite weist sie an, die Windows-Taste und R zu drücken, um das Ausführen-Dialogfeld zu öffnen, einen Befehl einzufügen und die Eingabetaste zu drücken. Das Ausführen dieses Befehls lädt das Malware-Toolkit von einem von den Angreifern kontrollierten Server herunter und führt es aus.

Sobald das Skript ausgeführt wird, erscheint ein gefälschter Windows-Update-Bildschirm, während die Malware im Hintergrund installiert wird. Im weiteren Sinne erreichen Bedrohungen wie SCMBANKER Opfer auch über Phishing-E-Mails, kompromittierte Websites und bösartige Downloads aus nicht vertrauenswürdigen Quellen.

Wie kann man die Installation von Malware vermeiden?

Seien Sie misstrauisch gegenüber jeder Website, die Sie auffordert, einen Befehl in das Windows-Ausführen-Dialogfeld, PowerShell oder ein Terminal einzufügen. Legitime Dienste erfordern diesen Schritt niemals. Laden Sie Software nur von offiziellen Entwickler-Websites herunter und meiden Sie raubkopierte Inhalte, Schlüsselgeneratoren und Software-Cracks.

Halten Sie Ihr Betriebssystem und alle Software auf dem neuesten Stand und verwenden Sie ein seriöses Sicherheitsprogramm, um regelmäßige Scans durchzuführen. Vermeiden Sie es, unbekannten Websites Benachrichtigungsberechtigungen zu erteilen, und seien Sie vorsichtig bei unerwarteten Pop-ups oder Werbung. Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir, einen Scan mit Combo Cleaner Antivirus für Windows durchzuführen, um infiltrierte Malware automatisch zu beseitigen.

Gefälschte CAPTCHA-Seite (ClickFix), die zur Verbreitung des SCMBANKER Trojaners verwendet wird (Quelle: elastic.co):

SCMBANKER Trojaner gefälschte CAPTCHA-ClickFix-Verbreitungsseite

Gefälschter Windows-Update-Bildschirm, der als Ablenkung während der Installation des SCMBANKER Trojaners angezeigt wird (Quelle: elastic.co):

SCMBANKER Trojaner gefälschter Windows-Update-Ablenkungsbildschirm

Gefälschte Bank-Sicherheitsseiten, die der SCMBANKER Trojaner den Opfern anzeigt (Quelle: elastic.co):

SCMBANKER Trojaner gefälschte Bank-Sicherheits-Overlay-Seite 1 SCMBANKER Trojaner gefälschte Bank-Sicherheits-Overlay-Seite 2 SCMBANKER Trojaner gefälschte Bank-Sicherheits-Overlay-Seite 3

Umgehende automatische Entfernung von Malware:

Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:

LADEN Sie Combo Cleaner herunter

Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu. Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.

Schnellmenü:

Wie entfernt man Malware manuell?

Die manuelle Entfernung von Malware ist eine komplizierte Aufgabe - normalerweise ist es am besten, Antiviren- oder Anti-Malware-Programme dies automatisch erledigen zu lassen. Um diese Malware zu entfernen, empfehlen wir die Verwendung von Combo Cleaner Antivirus für Windows.

Wenn Sie Malware manuell entfernen möchten, besteht der erste Schritt darin, den Namen der Malware zu identifizieren, die Sie zu entfernen versuchen. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers ausgeführt wird:

Malware-Prozess läuft im Task-Manager

Wenn Sie die Liste der auf Ihrem Computer laufenden Programme überprüft haben, zum Beispiel mit dem Task-Manager, und ein verdächtig aussehendes Programm identifiziert haben, sollten Sie mit diesen Schritten fortfahren:

manuelle Malware-Entfernung Schritt 1Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt Autostart-Anwendungen, Registry- und Dateisystem-Speicherorte an:

Erscheinungsbild der Autoruns-Anwendung

manuelle Malware-Entfernung Schritt 2Starten Sie Ihren Computer im abgesicherten Modus neu:

Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, klicken Sie auf Herunterfahren, klicken Sie auf Neu starten, klicken Sie auf OK. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die F8-Taste auf Ihrer Tastatur, bis Sie das Menü Erweiterte Windows-Optionen sehen, und wählen Sie dann Abgesicherter Modus mit Netzwerktreibern aus der Liste.

Windows 7 oder Windows XP im abgesicherten Modus mit Netzwerktreibern ausführen

Video, das zeigt, wie man Windows 7 im „abgesicherten Modus mit Netzwerktreibern" startet:

Windows 8-Benutzer: Starten Sie Windows 8 im abgesicherten Modus mit Netzwerktreibern - Gehen Sie zum Windows 8-Startbildschirm, geben Sie Erweitert ein, wählen Sie in den Suchergebnissen Einstellungen. Klicken Sie auf Erweiterte Startoptionen, wählen Sie im geöffneten Fenster „Allgemeine PC-Einstellungen" die Option Erweiterter Start.

Klicken Sie auf die Schaltfläche „Jetzt neu starten". Ihr Computer wird nun in das „Menü für erweiterte Startoptionen" neu gestartet. Klicken Sie auf die Schaltfläche „Problembehandlung" und dann auf die Schaltfläche „Erweiterte Optionen". Klicken Sie im Bildschirm für erweiterte Optionen auf „Starteinstellungen".

Klicken Sie auf die Schaltfläche „Neu starten". Ihr PC wird in den Bildschirm Starteinstellungen neu gestartet. Drücken Sie F5, um im abgesicherten Modus mit Netzwerktreibern zu starten.

Windows 8 im abgesicherten Modus mit Netzwerktreibern ausführen

Video, das zeigt, wie man Windows 8 im „abgesicherten Modus mit Netzwerktreibern" startet:

Windows 10-Benutzer: Klicken Sie auf das Windows-Logo und wählen Sie das Ein/Aus-Symbol. Klicken Sie im geöffneten Menü auf „Neu starten", während Sie die „Umschalttaste" auf Ihrer Tastatur gedrückt halten. Klicken Sie im Fenster „Option auswählen" auf „Problembehandlung", wählen Sie anschließend „Erweiterte Optionen".

Wählen Sie im Menü der erweiterten Optionen „Starteinstellungen" und klicken Sie auf die Schaltfläche „Neu starten". Im folgenden Fenster sollten Sie die Taste „F5" auf Ihrer Tastatur drücken. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Netzwerktreibern neu gestartet.

Windows 10 im abgesicherten Modus mit Netzwerktreibern ausführen

Video, das zeigt, wie man Windows 10 im „abgesicherten Modus mit Netzwerktreibern" startet:

manuelle Malware-Entfernung Schritt 3Extrahieren Sie das heruntergeladene Archiv und führen Sie die Datei Autoruns.exe aus.

Autoruns.zip-Archiv extrahieren und Autoruns.exe-Anwendung ausführen

manuelle Malware-Entfernung Schritt 4Klicken Sie in der Autoruns-Anwendung oben auf „Options" und deaktivieren Sie die Optionen „Hide Empty Locations" und „Hide Windows Entries". Klicken Sie nach diesem Vorgang auf das Symbol „Refresh".

Autoruns-Anwendungsergebnisse aktualisieren

manuelle Malware-Entfernung Schritt 5Überprüfen Sie die von der Autoruns-Anwendung bereitgestellte Liste und lokalisieren Sie die Malware-Datei, die Sie beseitigen möchten.

Sie sollten den vollständigen Pfad und Namen notieren. Beachten Sie, dass einige Malware Prozessnamen unter legitimen Windows-Prozessnamen versteckt. In diesem Stadium ist es sehr wichtig, das Entfernen von Systemdateien zu vermeiden. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf dessen Namen und wählen Sie „Delete".

Malware in Autoruns löschen

Nach dem Entfernen der Malware über die Autoruns-Anwendung (dies stellt sicher, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Malware-Namen suchen. Stellen Sie sicher, dass Sie versteckte Dateien und Ordner aktivieren, bevor Sie fortfahren. Wenn Sie den Dateinamen der Malware finden, entfernen Sie ihn unbedingt.

Nach Malware suchen und sie löschen

Starten Sie Ihren Computer im normalen Modus neu. Das Befolgen dieser Schritte sollte jegliche Malware von Ihrem Computer entfernen. Beachten Sie, dass die manuelle Bedrohungsentfernung fortgeschrittene Computerkenntnisse erfordert. Wenn Sie diese Kenntnisse nicht besitzen, überlassen Sie die Malware-Entfernung Antiviren- und Anti-Malware-Programmen.

Diese Schritte funktionieren möglicherweise nicht bei fortgeschrittenen Malware-Infektionen. Wie immer ist es am besten, eine Infektion zu verhindern, anstatt später zu versuchen, Malware zu entfernen. Um Ihren Computer sicher zu halten, installieren Sie die neuesten Betriebssystem-Updates und verwenden Sie Antiviren-Software. Um sicherzugehen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit Combo Cleaner Antivirus für Windows zu scannen.

Häufig gestellte Fragen (FAQ)

Mein Computer ist mit der SCMBANKER Trojaner-Malware infiziert, sollte ich mein Speichergerät formatieren, um sie loszuwerden?

Das Neuformatieren des Speichergeräts entfernt den SCMBANKER Trojaner, löscht aber auch alle Daten auf dem Laufwerk. Das Ausführen eines vertrauenswürdigen Sicherheitstools wie Combo Cleaner ist der empfohlene erste Schritt, da es die Infektion entfernen kann, ohne persönliche Dateien zu zerstören.

Was sind die größten Probleme, die die SCMBANKER Trojaner-Malware verursachen kann?

Der SCMBANKER Trojaner kann direkte finanzielle Verluste verursachen, indem er stillschweigend CLABE-Kontonummern und Kartennummern in der Zwischenablage ersetzt und Überweisungen auf von Angreifern kontrollierte Konten umleitet. Er verschafft Angreifern außerdem die Fernsteuerung des infizierten Computers, was zu weiterem Datendiebstahl und zusätzlichen Malware-Infektionen führen kann.

Was ist der Zweck der SCMBANKER Trojaner-Malware?

Der Zweck des SCMBANKER Trojaners ist es, Bankbetrug gegen Nutzer mexikanischer Finanzinstitute zu begehen. Er tut dies, indem er gefälschte Bank-Sicherheitswarnungen anzeigt, den Inhalt der Zwischenablage entführt, um Überweisungen umzuleiten, und den Betreibern die Live-Fernsteuerung des Computers des Opfers verschafft.

Wie hat die SCMBANKER Trojaner-Malware meinen Computer infiltriert?

Der SCMBANKER Trojaner verbreitet sich über gefälschte CAPTCHA-Seiten im ClickFix-Stil, die Besucher anweisen, einen bösartigen Befehl in das Windows-Ausführen-Dialogfeld einzufügen. Im weiteren Sinne erreichen Bedrohungen dieser Art Opfer auch über Phishing-E-Mails, kompromittierte Websites und bösartige Software-Downloads.

Wird Combo Cleaner mich vor Malware schützen?

Ja. Combo Cleaner kann den SCMBANKER Trojaner und ähnliche Bedrohungen erkennen und entfernen. Da diese Malware mehrere Persistenzkomponenten installiert, ist die Durchführung eines vollständigen System-Scans wichtig, um sicherzustellen, dass alle Teile der Infektion gründlich beseitigt werden.

Teilen:

facebook
X (Twitter)
linkedin
Link kopieren
Tomas Meskauskas

Tomas Meskauskas

Erfahrener Sicherheitsforscher, professioneller Malware-Analyst

Meine Leidenschaft gilt der Computersicherheit und -technologie. Ich habe mehr als 10 Jahre Erfahrung in verschiedenen Unternehmen im Zusammenhang mit der Lösung computertechnischer Probleme und der Internetsicherheit. Seit 2010 arbeite ich als Autor und Redakteur für PCrisk. Folgen Sie mir auf Twitter und LinkedIn, um über die neuesten Bedrohungen der Online-Sicherheit informiert zu bleiben.

▼ Diskussion einblenden

Das Sicherheitsportal PCrisk wird von der Firma RCS LT bereitgestellt.

Gemeinsam klären Sicherheitsforscher Computerbenutzer über die neuesten Online-Sicherheitsbedrohungen auf. Weitere Informationen über das Unternehmen RCS LT.

Unsere Anleitungen zur Entfernung von Malware sind kostenlos. Wenn Sie uns jedoch unterstützen möchten, können Sie uns eine Spende schicken.

Spenden