ClickFix: ИИ-инструменты помогли внедрить SmartRAT в банки
В марте 2026 года подразделение ThreatLabz компании Zscaler обнаружило преступную кампанию ClickFix, в которой злоумышленники использовали AI-based website builders для тайпсквоттинга и маскировки под официальный сайт бразильского банка. Цель атаки заключалась в доставке SmartRAT — PowerShell-based RAT, ориентированного на кражу финансовых данных и удалённое управление заражёнными системами.
Кампания примечательна сочетанием социальной инженерии, web-обмана и технически сложной цепочки заражения. Жертву вынуждали взаимодействовать с поддельной CAPTCHA, после чего на экране появлялось полноэкранное фальшивое сообщение о BSOD, ограничивающее действия пользователя и незаметно инициирующее выполнение PowerShell-команды.
Как работала цепочка заражения
По данным ThreatLabz, атака строилась по многоступенчатой схеме:
- вредоносная web-page имитировала официальный домен бразильского банка;
- пользователю демонстрировали поддельную CAPTCHA;
- после взаимодействия отображался поддельный Blue Screen of Death;
- скрытая PowerShell-команда запускала загрузку файла st.txt с жёстко заданного IP-адреса;
- загрузчик получал второй payload, содержащий SmartRAT, закодированный с использованием AES.
Такая схема позволяла злоумышленникам не только обойти базовые пользовательские проверки, но и уменьшить вероятность раннего обнаружения на этапе доставки вредоносного кода.
Возможности SmartRAT
SmartRAT представляет собой функционально насыщенный RAT, рассчитанный на длительное скрытное присутствие в системе. Среди его возможностей:
- keystroke logging;
- кража credentials;
- использование поддельных banking interfaces;
- encrypted C2 channels;
- mechanisms for persistence;
- автоматическая потоковая передача экрана;
- обнаружение бездействия;
- перехват QR-кодов.
Особый интерес представляет функция перехвата QR-кодов: она потенциально позволяет злоумышленникам вмешиваться в QR-transactions и манипулировать финансовыми операциями в реальном времени.
Закрепление и управление
После запуска SmartRAT проверяет уровень привилегий и пытается обеспечить persistence с помощью scheduled tasks или изменений в registry. Это позволяет вредоносному ПО сохранять активность даже после перезагрузки системы.
Для взаимодействия с оператором используется raw TCP socket на порту 51888. Дополнительно SmartRAT применяет process-monitor для поддержания своего выполнения, а также встроенные функции, связанные с перехватом вводимых данных и созданием скриншотов.
Как SmartRAT защищает свою коммуникацию
Вредоносное ПО генерирует уникальные идентификаторы для заражённого компьютера и использует hardcoded keys для encryption и authentication. Кроме того, оно ведёт локальные журналы своей активности, что помогает операторам отслеживать состояние заражения и выполнение команд.
Такая архитектура делает угрозу более устойчивой и удобной для удалённого контроля, особенно в сценариях, где злоумышленникам необходимо оперативно переключаться между жертвами и сохранять контекст сеансов.
Уязвимость в C2-панели
Отдельно ThreatLabz зафиксировало значимую vulnerability в C2 panel. Она была связана с использованием небезопасных значений local storage для аутентификации без server-side validation. На практике это создавало риск перехвата доступа или несанкционированного входа в систему управления со стороны посторонних лиц.
Иными словами, операторская инфраструктура сама оказалась уязвимой, что повышает вероятность её компрометации и потенциального раскрытия данных кампании.
Что означает появление AI-based tools в киберугрозах
Инцидент с ClickFix показывает, что AI-based website builders уже используются не только в легитимных сценариях, но и как средство масштабирования киберпреступности. Такие инструменты позволяют быстрее создавать убедительные поддельные сайты, адаптировать их под конкретные бренды и проводить более реалистичные атаки.
На фоне этой эволюции тактик защита требует более комплексного подхода. В случае подобных кампаний критически важны:
- контроль доменных имён и защита от typosquatting;
- обнаружение подозрительных PowerShell-цепочек;
- мониторинг C2-трафика;
- ограничение возможностей запуска скриптов;
- обучение пользователей распознаванию social engineering;
- защита banking-сервисов от подделки интерфейсов.
«Появление инструментов на базе искусственного интеллекта расширяет возможности киберпреступников, позволяя им создавать убедительные атаки в масштабе», — следует из выводов отчёта.
Вывод
Кампания ClickFix демонстрирует, как сочетание AI-based tools, web deception и сложного malware может превращать даже привычные сценарии банковского фишинга в многоуровневую операцию с высокой степенью маскировки. В центре атаки оказался не только пользователь, но и инфраструктурный уровень — от поддельного сайта до уязвимой C2-панели.
Для защитников этот случай служит напоминанием: современные угрозы всё чаще строятся не на одном вредоносном компоненте, а на связке технологий, где каждый элемент усиливает следующий. Именно поэтому эффективная защита должна быть столь же многослойной, как и сама атака.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



