Der Einstieg in die Infektion erfolgt über eine gefälschte Sicherheitsprüfung, die wie eine Verifikationsseite mit einem Google-reCAPTCHA-ähnlichen Test aussieht. Nutzer sollen Bilder mit einem Hydranten auswählen. Nach diesem Schritt erscheinen Anweisungen, einen schädlichen Befehl in den Windows-Dialog „Ausführen“ zu kopieren und einzufügen.
Dadurch startet ein Batch-Skript, das die Malware in mehreren Stufen installiert. Zu Beginn blendet es eine gefälschte Windows-Update-Seite ein. Elastic zufolge öffnet das Skript sofort Microsoft Edge im Kioskmodus und ruft fakeupdate[.]net auf, eine bekannte Seite aus dem Pentesting- und Red-Team-Umfeld, die einen falschen Windows-Update-Bildschirm anzeigt. Diese Ablenkung verschaffe dem Skript Zeit, vollständig abzulaufen.
Im nächsten Schritt prüft das Skript laut Elastic, ob es mit Administratorrechten läuft. Ist das nicht der Fall, blendet es alle 20 Sekunden eine Windows-Abfrage der Benutzerkontensteuerung ein, um das Opfer zum Klick auf „Ja“ zu drängen. Sobald erhöhte Rechte vorliegen, sperrt es die Mausbewegung. In Kombination mit dem gefälschten Update-Bildschirm hält dieses Verhalten das Opfer fest, während die Malware im Hintergrund mit bitsadmin aus demselben Verzeichnis das vollständige Werkzeugset nachlädt.
Nach dem Download der SCMBANKER-Komponenten richtet die Schadsoftware Persistenz über den Windows-Startordner und einen Registry-Run-Schlüssel ein. Anschließend sendet sie programmatisch einen F11-Tastendruck, um den Vollbildmodus zu verlassen, und startet eine „Strg+W“-Tastensequenz, um den Tab mit dem gefälschten Windows-Update zu schließen. Elastic merkt an, dass dieser Ansatz nur in einem normalen Vollbild-Browserfenster funktioniert, nicht jedoch im Kioskmodus. Danach erzwingt die Malware mit dem Befehl „shutdown /r /t 02“ und weiteren Schaltern einen Neustart. Nach dem Reboot startet über den Registry-Run-Schlüssel die VBScript-Datei „run.vbs“.
Dieses Visual-Basic-Skript fungiert als zentraler Starter für mehrere parallel laufende Module. Laut Elastic kann der Betreiber nach der Installation erkennen, wann ein Opfer eine Banking-Sitzung öffnet, den Bildschirm mit einer gefälschten Bankwarnung sperren, Betroffene in ein Live-Telefonat drängen, den Browser umleiten oder in die Zwischenablage kopierte Kontonummern austauschen. Für eine vollständige Übernahme könne zusätzlich ein kommerzielles Fernzugriffswerkzeug ausgerollt werden.
Ein von Elastic beobachtetes Umleitungsziel ist „bancaporinternetbbmx[.]online“. Dort enthält die Seite ein Telegram-Benachrichtigungsskript, das Angaben zu Browser, Gerät und IP-Adresse sammelt und an einen Telegram-Chat sendet. So werde der Betreiber informiert, wenn ein umgeleitetes Opfer den Köder erreicht hat, um nachgelagerte Angriffe zu starten.
Elastic sieht in den Skripten deutliche Anzeichen für KI-Unterstützung. Am wahrscheinlichsten sei, dass ein Large Language Model auf Spanisch aufgefordert wurde und anschließend manuelle Verschleierung erfolgte. Die Forscher verweisen auf eine „gespaltene Persönlichkeit“ des Codes: saubere, beschreibende Funktionsnamen und ausführliche Kommentare stünden neben verkürzten Variablennamen und zurückgebliebenen Artefakten der Generierung. Auch die Platzierung anweisungsartiger Kommentare direkt über dem beschriebenen Code spreche dafür, dass die Autoren einen eingebetteten Programmierassistenten wie Copilot oder Cursor verwendet haben.
In der Gesamtschau beschreibt Elastic den Akteur als Bedrohungsgruppe, die mit KI ein grobes Werkzeugset aus zusammenkopierten Batch-Dateien, schwacher handwerklicher Ausführung und Fehlern bei der operativen Absicherung zusammengestellt hat. Zugleich betonen die Forscher, dass es bereits reale Opfer gibt: Ein Live-Zähler für Opfer sowie beschriftete und markierte Rechner auf den Bedienoberflächen des Betreibers zeigten, dass einzelne Personen aktiv ins Visier genommen werden.
