ClickFix: ИИ-инструменты помогли внедрить SmartRAT в банки

В марте 2026 года подразделение ThreatLabz компании Zscaler обнаружило преступную кампанию ClickFix, в которой злоумышленники использовали AI-based website builders для тайпсквоттинга и маскировки под официальный сайт бразильского банка. Цель атаки заключалась в доставке SmartRAT — PowerShell-based RAT, ориентированного на кражу финансовых данных и удалённое управление заражёнными системами.

Кампания примечательна сочетанием социальной инженерии, web-обмана и технически сложной цепочки заражения. Жертву вынуждали взаимодействовать с поддельной CAPTCHA, после чего на экране появлялось полноэкранное фальшивое сообщение о BSOD, ограничивающее действия пользователя и незаметно инициирующее выполнение PowerShell-команды.

Как работала цепочка заражения

По данным ThreatLabz, атака строилась по многоступенчатой схеме:

  • вредоносная web-page имитировала официальный домен бразильского банка;
  • пользователю демонстрировали поддельную CAPTCHA;
  • после взаимодействия отображался поддельный Blue Screen of Death;
  • скрытая PowerShell-команда запускала загрузку файла st.txt с жёстко заданного IP-адреса;
  • загрузчик получал второй payload, содержащий SmartRAT, закодированный с использованием AES.

Такая схема позволяла злоумышленникам не только обойти базовые пользовательские проверки, но и уменьшить вероятность раннего обнаружения на этапе доставки вредоносного кода.

Возможности SmartRAT

SmartRAT представляет собой функционально насыщенный RAT, рассчитанный на длительное скрытное присутствие в системе. Среди его возможностей:

  • keystroke logging;
  • кража credentials;
  • использование поддельных banking interfaces;
  • encrypted C2 channels;
  • mechanisms for persistence;
  • автоматическая потоковая передача экрана;
  • обнаружение бездействия;
  • перехват QR-кодов.

Особый интерес представляет функция перехвата QR-кодов: она потенциально позволяет злоумышленникам вмешиваться в QR-transactions и манипулировать финансовыми операциями в реальном времени.

Закрепление и управление

После запуска SmartRAT проверяет уровень привилегий и пытается обеспечить persistence с помощью scheduled tasks или изменений в registry. Это позволяет вредоносному ПО сохранять активность даже после перезагрузки системы.

Для взаимодействия с оператором используется raw TCP socket на порту 51888. Дополнительно SmartRAT применяет process-monitor для поддержания своего выполнения, а также встроенные функции, связанные с перехватом вводимых данных и созданием скриншотов.

Как SmartRAT защищает свою коммуникацию

Вредоносное ПО генерирует уникальные идентификаторы для заражённого компьютера и использует hardcoded keys для encryption и authentication. Кроме того, оно ведёт локальные журналы своей активности, что помогает операторам отслеживать состояние заражения и выполнение команд.

Такая архитектура делает угрозу более устойчивой и удобной для удалённого контроля, особенно в сценариях, где злоумышленникам необходимо оперативно переключаться между жертвами и сохранять контекст сеансов.

Уязвимость в C2-панели

Отдельно ThreatLabz зафиксировало значимую vulnerability в C2 panel. Она была связана с использованием небезопасных значений local storage для аутентификации без server-side validation. На практике это создавало риск перехвата доступа или несанкционированного входа в систему управления со стороны посторонних лиц.

Иными словами, операторская инфраструктура сама оказалась уязвимой, что повышает вероятность её компрометации и потенциального раскрытия данных кампании.

Что означает появление AI-based tools в киберугрозах

Инцидент с ClickFix показывает, что AI-based website builders уже используются не только в легитимных сценариях, но и как средство масштабирования киберпреступности. Такие инструменты позволяют быстрее создавать убедительные поддельные сайты, адаптировать их под конкретные бренды и проводить более реалистичные атаки.

На фоне этой эволюции тактик защита требует более комплексного подхода. В случае подобных кампаний критически важны:

  • контроль доменных имён и защита от typosquatting;
  • обнаружение подозрительных PowerShell-цепочек;
  • мониторинг C2-трафика;
  • ограничение возможностей запуска скриптов;
  • обучение пользователей распознаванию social engineering;
  • защита banking-сервисов от подделки интерфейсов.

«Появление инструментов на базе искусственного интеллекта расширяет возможности киберпреступников, позволяя им создавать убедительные атаки в масштабе», — следует из выводов отчёта.

Вывод

Кампания ClickFix демонстрирует, как сочетание AI-based tools, web deception и сложного malware может превращать даже привычные сценарии банковского фишинга в многоуровневую операцию с высокой степенью маскировки. В центре атаки оказался не только пользователь, но и инфраструктурный уровень — от поддельного сайта до уязвимой C2-панели.

Для защитников этот случай служит напоминанием: современные угрозы всё чаще строятся не на одном вредоносном компоненте, а на связке технологий, где каждый элемент усиливает следующий. Именно поэтому эффективная защита должна быть столь же многослойной, как и сама атака.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: