Операторы SmartApeSG используют ClickFix для заражения трояном удалённого доступа и NetSupport RAT

На первом этапе пользователь попадает на страницу, которая имитирует проверку безопасности браузера или системы. Ему предлагают скопировать и вставить в командную строку специальный скрипт, якобы устраняющий неполадку. Этот метод, названный ClickFix, эксплуатирует привычку следовать готовым инструкциям для решения технических проблем. В действительности скрипт незаметно обращается к серверам злоумышленников и загружает ZIP-архив с первым трояном удалённого доступа (RAT). Именно этот начальный RAT впоследствии доставляет основную полезную нагрузку.

Аналитик из сообщества SANS Internet Storm Center описал цепочку заражения в своём дневнике. Он наблюдал активность с апреля 2026 года и отметил, что инфраструктура атакующих обновляется ежедневно. Подобная динамика серьёзно усложняет отслеживание и блокировку угрозы статичными методами.

Начальный RAT устанавливает соединение с командным сервером 89.110.110[.]119 через порт 443. При этом трафик не использует стандартную защиту HTTPS. Злоумышленники кодируют его собственным алгоритмом, что затрудняет детектирование сетевыми экранами и системами обнаружения вторжений. Многие защитные решения по умолчанию доверяют трафику на 443 порт, не анализируя его содержимое. Через этот зашифрованный канал на заражённую машину передаются дополнительные файлы для развёртывания NetSupport RAT.

NetSupport Manager - хорошо известное корпоративное приложение для удалённого администрирования. К несчастью, киберпреступники давно взяли его на вооружение, превращая легитимный инструмент в троян. Подобная практика позволяет обходить политики белых списков приложений, так как исполняемые файлы NetSupport часто считаются доверенными. Вредоносный пакет хранится внутри файла setup.cab размером более 17 МБ. Вспомогательные скрипты processor.vbs и token.bat автоматизируют установку и закрепление RAT в системе. В частности, token.bat распаковывает CAB-архив в папку C:\ProgramData\UpdateInstaller\, создаёт службу для автозапуска и после этого удаляет все следы своего присутствия.

После установки NetSupport RAT начинает взаимодействовать с отдельным C2-сервером по адресу 185.163.47[.]217, также через порт 443. Двойной канал управления обеспечивает резервный доступ к скомпрометированному хосту. Если первую инфекцию заметят и удалят, второй инструмент может остаться необнаруженным и продолжить шпионаж или распространение по внутренней сети. Такая избыточность типична для профессиональных кампаний и говорит о продуманном подходе злоумышленников.

Среди индикаторов компрометации, обнаруженных 27 мая 2026 года, выделяется несколько этапов сетевой активности. Начальные фишинговые URL включали hiddenplanetlab[.]top/signin/secure-util.js и аналогичные адреса. После запуска ClickFix-скрипта жертва обращалась к 178.156.165[.]82 и 178.156.173[.]194, а также к silverharvestnetwork[.]com, где размещался ZIP-архив с первым RAT. Хэши SHA256 ключевых файлов: 1514b1268e9dc6d2f37137aa38c756cb4bf8186ac9235d6863b78e7f8bbbe976 для архива, 469bac8e10f50263e8ff0806e6ba126bb4cc660799129a8653eab3f8ec7201e5 для processor.vbs, 9c7eda2c4d3aaa8746495741bef57a07de180f0409409faf0f91658e88ba33f5 для token.bat и 7ba5481c873bb3081442561f749f590badd72ef249fddfe993e30b28dc0c2112 для setup.cab.

Операторы SmartApeSG постоянно меняют доменные имена и IP-адреса, поэтому полагаться исключительно на статичные списки индикаторов недостаточно. Кроме того, начальный троян пока не получил собственного имени, но его стабильная активность с апреля указывает на целенаправленную разработку или аренду инфраструктуры.

Последствия успешной атаки могут быть разрушительными. NetSupport RAT предоставляет злоумышленнику практически полный контроль над Windows-машиной: от просмотра экрана и перехвата клавиатуры до выгрузки файлов и выполнения произвольного кода. Через скомпрометированный хост преступники способны продвигаться вглубь корпоративной сети, собирать учётные данные и разворачивать другие вредоносные программы, включая программы-вымогатели. Для бизнеса это чревато утечкой конфиденциальной информации, финансовыми потерями и длительным простоем.

Защита от подобных атак требует комплексного подхода. Прежде всего необходимо информировать сотрудников о недопустимости выполнения сомнительных скриптов, даже если страница выглядит убедительно. Технические меры включают контроль запуска PowerShell и Windows Script Host, ограничение легитимных утилит удалённого администрирования через строгую политику Application Control, а также мониторинг аномального сетевого трафика. Особое внимание стоит уделять сессиям на 443 порт, которые не соответствуют профилю HTTPS: анализировать размеры пакетов, временные интервалы и характер передаваемых данных. Решения класса EDR, способные выявлять аномальное поведение процессов, значительно снижают риск незаметного закрепления троянов. Регулярный анализ журналов и поведенческих аномалий на конечных точках поможет остановить атаку на ранних стадиях.

IPv4 Port Combinations

• 89.110.110.119:443

URLs

• http://178.156.165.82/
• http://178.156.173.194/
• http://185.163.47.217:443
• https://hiddenplanetlab.top/signin/legacy-worker.js?18b3825af007e53d
• https://hiddenplanetlab.top/signin/private-template?c66kjD5i
• https://hiddenplanetlab.top/signin/secure-util.js
• https://silverharvestnetwork.com/check

SHA256

• 1514b1268e9dc6d2f37137aa38c756cb4bf8186ac9235d6863b78e7f8bbbe976
• 469bac8e10f50263e8ff0806e6ba126bb4cc660799129a8653eab3f8ec7201e5
• 7ba5481c873bb3081442561f749f590badd72ef249fddfe993e30b28dc0c2112
• 9c7eda2c4d3aaa8746495741bef57a07de180f0409409faf0f91658e88ba33f5