Comment supprimer le cheval de Troie SCMBANKER du système d'exploitation
de TroieÉgalement connu sous le nom de: Logiciel malveillant SCMBANKER
Obtenez une analyse gratuite et vérifiez si votre ordinateur est infecté.
SUPPRIMEZ-LES MAINTENANTPour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.
Quel type de malware est le cheval de Troie SCMBANKER ?
SCMBANKER est un cheval de Troie bancaire conçu en PowerShell et visant les utilisateurs d'institutions financières mexicaines. Selon les recherches d'Elastic Security Labs, il fait partie d'une campagne de fraude active, assistée par des opérateurs, suivie sous le nom de REF6045.
Le malware est distribué via de fausses pages CAPTCHA ClickFix qui incitent les victimes à exécuter une commande malveillante. Une fois installé, il affiche de fausses alertes de sécurité bancaire conçues pour paniquer les victimes afin qu'elles appellent des numéros de téléphone contrôlés par les attaquants.
SCMBANKER détourne également le presse-papiers, remplaçant silencieusement les numéros de compte CLABE et les numéros de carte de paiement par des alternatives contrôlées par les attaquants afin de rediriger les virements bancaires. Un outil commercial d'accès à distance installé avec le malware donne aux opérateurs un contrôle en direct de la machine infectée.

Présentation du trojan SCMBANKER
SCMBANKER est structuré comme une boîte à outils modulaire, chaque script PowerShell étant responsable d'une partie distincte de l'opération de fraude. Comme l'a documenté Elastic Security Labs, la campagne repose sur un tableau de bord opérateur en direct, ce qui signifie que de véritables humains surveillent les machines infectées et émettent des commandes en temps quasi réel.
Le malware envoie une balise de commande et contrôle au serveur de l'attaquant toutes les 30 secondes. Chaque enregistrement transmet le nom de la machine, un identifiant client unique, les adresses IP locales et publiques, ainsi que l'état des composants installés. Les opérateurs renvoient des commandes via des fichiers texte hébergés sur le même serveur.
Lors de l'installation, un faux écran Windows Update s'affiche pour distraire la victime pendant que la boîte à outils du malware se télécharge en arrière-plan. La victime voit ce qui semble être une mise à jour système de routine en cours, ce qui laisse au malware le temps de s'installer sans être détecté.
Capacités de fraude bancaire
SCMBANKER surveille en permanence les fenêtres ouvertes sur l'ordinateur infecté. Lorsqu'il détecte un titre correspondant à une banque mexicaine, une plateforme fintech, un processeur de paiement, une plateforme d'échange de cryptomonnaies ou le SAT (l'administration fiscale mexicaine), il commence immédiatement à capturer des captures d'écran à un rythme rapide.
À ce moment-là, le malware peut afficher une fausse page de sécurité bancaire dans le navigateur, conçue pour ressembler à un véritable avertissement de la propre banque de la victime. Ces pages évoquent de vagues problèmes de sécurité, affichent un faux numéro de référence et incitent la victime à appeler un numéro de téléphone contrôlé par les attaquants.
SCMBANKER peut également rediriger entièrement la victime vers un faux portail bancaire. Il place une URL de phishing dans le presse-papiers, puis simule des frappes clavier pour l'ouvrir dans le navigateur, remplaçant le véritable site bancaire sans aucun signe évident qu'un changement s'est produit.
Détournement du presse-papiers et accès à distance
En arrière-plan, SCMBANKER surveille le presse-papiers à la recherche de numéros CLABE (identifiants d'acheminement bancaire mexicains à 18 chiffres) et de numéros de carte de paiement à 16 chiffres. Lorsque l'un de ces formats est détecté, la valeur est silencieusement remplacée par une autre chargée depuis un fichier de configuration situé sur le serveur de l'attaquant.
La boîte à outils installe Remote Utilities, une application commerciale légitime d'accès à distance, configurée pour se connecter silencieusement à l'infrastructure de l'opérateur. Cela donne aux attaquants un accès en direct à l'écran, le contrôle complet du clavier et de la souris, ainsi que la capacité d'interagir directement avec l'ordinateur de la victime.
Le malware inclut également un module d'enregistrement de frappe capable d'enregistrer tout ce que la victime tape et de le transmettre à un canal Telegram contrôlé par l'attaquant.
Persistance et évasion des défenses
SCMBANKER utilise plusieurs méthodes pour survivre aux redémarrages. Il écrit une commande de lancement dans la clé Run du Registre Windows, garantissant qu'il démarre automatiquement à l'ouverture de session. Un fichier VBScript est également copié dans le dossier de démarrage de Windows comme mécanisme de persistance de secours.
Le malware masque tous ses fichiers en leur appliquant les attributs caché et système, les rendant invisibles dans les vues de dossier standard. Il supprime également l'enregistrement de désinstallation du composant Remote Utilities, l'empêchant d'apparaître dans la liste des programmes installés.
Lors de l'installation, une boucle de contournement de l'UAC réessaie toutes les 20 secondes jusqu'à ce que l'accès administrateur soit accordé. Le malware bloque également brièvement le curseur de la souris sur un seul pixel à l'écran, empêchant la victime d'interagir avec l'ordinateur pendant que la boîte à outils se télécharge en arrière-plan.
| Nom | Logiciel malveillant SCMBANKER |
| Type De Menace | Trojan bancaire, Trojan, Clipper, Trojan d'accès à distance (RAT) |
| Noms De Détection | AliCloud (Trojan:Win/Agent.dds), Huorong (HEUR:Trojan/Runner.e), Ikarus (Trojan.VBS.Agent), Kaspersky (Trojan.VBS.Agent.dar), Liste Complète (VirusTotal) |
| Symptômes | Les trojans bancaires sont conçus pour infiltrer furtivement l'ordinateur de la victime et rester silencieux. SCMBANKER peut afficher de fausses pages de sécurité bancaire lorsque des sites bancaires sont actifs ; en dehors de ces moments, aucun symptôme particulier n'est clairement visible sur une machine infectée. |
| Méthodes De Distribution | ClickFix, sites web trompeurs, ingénierie sociale. |
| Dommages | Fraude bancaire et vol financier, détournement du presse-papiers (numéros CLABE et détails de carte silencieusement remplacés), accès à distance non autorisé à l'ordinateur de la victime, vol d'identité, risque d'infections par des malwares supplémentaires. |
|
Suppression des maliciels (Windows) |
Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. Téléchargez Combo CleanerUn scanner gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk. |
Conclusion
Le trojan SCMBANKER représente un risque financier direct pour les utilisateurs des services bancaires mexicains. En combinant de fausses superpositions bancaires, le détournement du presse-papiers et un accès à distance contrôlé par l'opérateur, il peut intercepter de véritables virements bancaires tout en maintenant la victime totalement inconsciente de ce qui se passe.
Les victimes peuvent subir des pertes financières importantes, un vol d'identité et un contrôle à distance complet de leur ordinateur par les attaquants. Les multiples mécanismes de persistance du malware et son utilisation d'un outil d'accès à distance légitime le rendent difficile à détecter sans un logiciel de sécurité dédié. Il doit être supprimé immédiatement.
D'autres exemples de trojans bancaires sont Maverick, CHAVECLOAK et Tinynuke.
Comment le trojan SCMBANKER a-t-il infiltré mon ordinateur ?
Comme l'a documenté Elastic Security Labs, SCMBANKER est distribué via de fausses pages CAPTCHA de type ClickFix. Ces pages sont hébergées sur des domaines contrôlés par les attaquants, rédigées en espagnol et conçues pour cibler spécifiquement les internautes mexicains.
Les visiteurs voient ce qui semble être une vérification standard. La page leur demande d'appuyer sur la touche Windows et R pour ouvrir la boîte de dialogue Exécuter, de coller une commande et d'appuyer sur Entrée. L'exécution de cette commande télécharge et exécute la boîte à outils du malware depuis un serveur contrôlé par les attaquants.
Une fois le script exécuté, un faux écran Windows Update apparaît pendant que le malware s'installe en arrière-plan. Plus largement, des menaces comme SCMBANKER atteignent également les victimes via des e-mails de phishing, des sites web compromis et des téléchargements malveillants provenant de sources non fiables.
Comment éviter l'installation de malwares ?
Méfiez-vous de tout site web qui vous demande de coller une commande dans la boîte de dialogue Exécuter de Windows, dans PowerShell ou dans un terminal. Les services légitimes n'exigent jamais cette étape. Téléchargez des logiciels uniquement depuis les sites web officiels des développeurs et évitez les contenus piratés, les générateurs de clés et les cracks de logiciels.
Maintenez votre système d'exploitation et tous vos logiciels à jour, et utilisez un programme de sécurité réputé pour effectuer des analyses régulières. Évitez d'accorder des autorisations de notification à des sites web inconnus et soyez prudent face aux fenêtres pop-up ou aux publicités inattendues. Si vous pensez que votre ordinateur est déjà infecté, nous vous recommandons d'effectuer une analyse avec Combo Cleaner Antivirus pour Windows pour éliminer automatiquement les malwares infiltrés.
Fausse page CAPTCHA (ClickFix) utilisée pour diffuser le trojan SCMBANKER (source : elastic.co) :

Faux écran Windows Update affiché comme distraction lors de l'installation du trojan SCMBANKER (source : elastic.co) :

Fausses pages de sécurité bancaire affichées aux victimes par le trojan SCMBANKER (source : elastic.co) :
Suppression automatique et instantanée des maliciels :
La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :
TÉLÉCHARGEZ Combo CleanerEn téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.
Menu rapide :
- Qu'est-ce que le trojan SCMBANKER ?
- ÉTAPE 1. Suppression manuelle du malware trojan SCMBANKER.
- ÉTAPE 2. Vérifiez si votre ordinateur est propre.
Comment supprimer un malware manuellement ?
La suppression manuelle d'un malware est une tâche compliquée - il est généralement préférable de laisser les programmes antivirus ou anti-malware le faire automatiquement. Pour supprimer ce malware, nous recommandons d'utiliser Combo Cleaner Antivirus pour Windows.
Si vous souhaitez supprimer un malware manuellement, la première étape consiste à identifier le nom du malware que vous essayez de supprimer. Voici un exemple de programme suspect s'exécutant sur l'ordinateur d'un utilisateur :

Si vous avez vérifié la liste des programmes s'exécutant sur votre ordinateur, par exemple à l'aide du gestionnaire des tâches, et identifié un programme qui semble suspect, vous devriez poursuivre avec ces étapes :
Téléchargez un programme appelé Autoruns. Ce programme affiche les applications à démarrage automatique, le Registre et les emplacements du système de fichiers :

Redémarrez votre ordinateur en mode sans échec :
Utilisateurs de Windows XP et Windows 7 : Démarrez votre ordinateur en mode sans échec. Cliquez sur Démarrer, cliquez sur Arrêter, cliquez sur Redémarrer, cliquez sur OK. Pendant le processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu des options avancées de Windows apparaisse, puis sélectionnez Mode sans échec avec prise en charge réseau dans la liste.

Vidéo montrant comment démarrer Windows 7 en « Mode sans échec avec prise en charge réseau » :
Utilisateurs de Windows 8 : Démarrer Windows 8 en mode sans échec avec prise en charge réseau - Accédez à l'écran de démarrage de Windows 8, tapez Avancé, dans les résultats de recherche sélectionnez Paramètres. Cliquez sur Options de démarrage avancées, dans la fenêtre « Paramètres généraux du PC » ouverte, sélectionnez Démarrage avancé.
Cliquez sur le bouton « Redémarrer maintenant ». Votre ordinateur va maintenant redémarrer dans le « menu des options de démarrage avancées ». Cliquez sur le bouton « Dépannage », puis cliquez sur le bouton « Options avancées ». Dans l'écran des options avancées, cliquez sur « Paramètres de démarrage ».
Cliquez sur le bouton « Redémarrer ». Votre PC redémarrera dans l'écran des paramètres de démarrage. Appuyez sur F5 pour démarrer en mode sans échec avec prise en charge réseau.

Vidéo montrant comment démarrer Windows 8 en « Mode sans échec avec prise en charge réseau » :
Utilisateurs de Windows 10 : Cliquez sur le logo Windows et sélectionnez l'icône Alimentation. Dans le menu ouvert, cliquez sur « Redémarrer » tout en maintenant la touche « Maj » enfoncée sur votre clavier. Dans la fenêtre « choisir une option », cliquez sur « Dépannage », puis sélectionnez « Options avancées ».
Dans le menu des options avancées, sélectionnez « Paramètres de démarrage » et cliquez sur le bouton « Redémarrer ». Dans la fenêtre suivante, vous devez cliquer sur le bouton « F5 » de votre clavier. Cela redémarrera votre système d'exploitation en mode sans échec avec prise en charge réseau.

Vidéo montrant comment démarrer Windows 10 en « Mode sans échec avec prise en charge réseau » :
Extrayez l'archive téléchargée et exécutez le fichier Autoruns.exe.

Dans l'application Autoruns, cliquez sur « Options » en haut et décochez les options « Hide Empty Locations » et « Hide Windows Entries ». Après cette procédure, cliquez sur l'icône « Refresh ».

Vérifiez la liste fournie par l'application Autoruns et localisez le fichier de malware que vous souhaitez éliminer.
Vous devez noter son chemin complet et son nom. Notez que certains malwares dissimulent leurs noms de processus sous des noms de processus Windows légitimes. À ce stade, il est très important d'éviter de supprimer des fichiers système. Après avoir localisé le programme suspect que vous souhaitez supprimer, cliquez avec le bouton droit de la souris sur son nom et choisissez « Delete ».

Après avoir supprimé le malware via l'application Autoruns (ce qui garantit que le malware ne s'exécutera pas automatiquement au prochain démarrage du système), vous devez rechercher le nom du malware sur votre ordinateur. Assurez-vous d'activer les fichiers et dossiers cachés avant de continuer. Si vous trouvez le nom de fichier du malware, veillez à le supprimer.

Redémarrez votre ordinateur en mode normal. Suivre ces étapes devrait supprimer tout malware de votre ordinateur. Notez que la suppression manuelle des menaces nécessite des compétences informatiques avancées. Si vous ne possédez pas ces compétences, laissez la suppression des malwares aux programmes antivirus et anti-malware.
Ces étapes peuvent ne pas fonctionner avec les infections par malwares avancées. Comme toujours, il est préférable de prévenir l'infection plutôt que d'essayer de supprimer le malware par la suite. Pour garder votre ordinateur en sécurité, installez les dernières mises à jour du système d'exploitation et utilisez un logiciel antivirus. Pour être sûr que votre ordinateur est exempt d'infections par des malwares, nous recommandons de l'analyser avec Combo Cleaner Antivirus pour Windows.
Foire aux questions (FAQ)
Mon ordinateur est infecté par le malware trojan SCMBANKER, dois-je formater mon périphérique de stockage pour m'en débarrasser ?
Le reformatage du périphérique de stockage supprimera le trojan SCMBANKER, mais effacera également toutes les données du disque. L'exécution d'un outil de sécurité fiable tel que Combo Cleaner est la première étape recommandée, car il peut supprimer l'infection sans détruire les fichiers personnels.
Quels sont les problèmes les plus importants que le malware trojan SCMBANKER peut causer ?
Le trojan SCMBANKER peut causer des pertes financières directes en remplaçant silencieusement les numéros de compte CLABE et les numéros de carte dans le presse-papiers, détournant les virements vers des comptes contrôlés par les attaquants. Il donne également aux attaquants le contrôle à distance de l'ordinateur infecté, ce qui peut conduire à d'autres vols de données et à des infections par des malwares supplémentaires.
Quel est le but du malware trojan SCMBANKER ?
Le but du trojan SCMBANKER est de commettre une fraude bancaire contre les utilisateurs des institutions financières mexicaines. Il le fait en affichant de fausses alertes de sécurité bancaire, en détournant le contenu du presse-papiers pour rediriger les virements et en donnant aux opérateurs un contrôle à distance en direct de l'ordinateur de la victime.
Comment le malware trojan SCMBANKER a-t-il infiltré mon ordinateur ?
Le trojan SCMBANKER se propage via de fausses pages CAPTCHA de type ClickFix qui demandent aux visiteurs de coller une commande malveillante dans la boîte de dialogue Exécuter de Windows. Plus largement, les menaces de ce type atteignent également les victimes via des e-mails de phishing, des sites web compromis et des téléchargements de logiciels malveillants.
Combo Cleaner me protégera-t-il contre les malwares ?
Oui. Combo Cleaner peut détecter et supprimer le trojan SCMBANKER et les menaces similaires. Comme ce malware installe plusieurs composants de persistance, l'exécution d'une analyse complète du système est importante pour s'assurer que toutes les parties de l'infection sont soigneusement éliminées.
Partager:
Tomas Meskauskas
Chercheur expert en sécurité, analyste professionnel en logiciels malveillants
Je suis passionné par la sécurité informatique et la technologie. J'ai une expérience de plus de 10 ans dans diverses entreprises liées à la résolution de problèmes techniques informatiques et à la sécurité Internet. Je travaille comme auteur et éditeur pour PCrisk depuis 2010. Suivez-moi sur Twitter et LinkedIn pour rester informé des dernières menaces de sécurité en ligne.
Le portail de sécurité PCrisk est proposé par la société RCS LT.
Des chercheurs en sécurité ont uni leurs forces pour sensibiliser les utilisateurs d'ordinateurs aux dernières menaces en matière de sécurité en ligne. Plus d'informations sur la société RCS LT.
Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.
Faire un donLe portail de sécurité PCrisk est proposé par la société RCS LT.
Des chercheurs en sécurité ont uni leurs forces pour sensibiliser les utilisateurs d'ordinateurs aux dernières menaces en matière de sécurité en ligne. Plus d'informations sur la société RCS LT.
Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.
Faire un don



▼ Montrer la discussion