Злоумышленники использовали AI-генератор сайтов для доставки трояна SmartRAT через ClickFix-кампанию против бразильского банка

remote access Trojan

В марте 2026 года специалисты Zscaler ThreatLabz зафиксировали серию атак, в которых злоумышленники применяли AI-сгенерированные веб-страницы для имитации сайта крупного бразильского банка. Целью кампании была доставка нового PowerShell-трояна удалённого доступа, названного исследователями SmartRAT. Вредоносная программа ориентирована на кражу банковских данных, перехват QR-кодов и удалённое управление заражённым устройством. Для принуждения жертвы к выполнению вредоносной PowerShell-команды использовалась техника ClickFix, включающая поддельный CAPTCHA и имитацию синего экрана смерти (BSOD).

Описание

Атака начиналась с тайпсквоттинга: злоумышленники зарегистрировали домен cartaobb[.]com, который визуально напоминал официальный адрес банка cartaobrb[.]com[.]br. На поддельной странице размещалось объявление о выдаче кредитной карты и фальшивый CAPTCHA от Cloudflare. Посетитель, нажав на "проверку", запускал скрипт, который копировал в буфер обмена команду PowerShell, переводил браузер в полноэкранный режим и показывал поддельный синий экран с сообщением о необходимости восстановления системы. Встроенная функция "lockdown" блокировала клавиатуру, кроме сочетаний для вставки команды, и препятствовала выходу из полноэкранного режима.

Анализ исходного кода поддельной страницы показал характерные для AI-генераторов комментарии с шаблонными заголовками секций. Разработчики также добавили антиинспекционные меры: скрипт перехватывал сочетания клавиш для открытия инструментов разработчика и каждые три секунды очищал консоль при её открытии. Согласно отчёту Zscaler, команда, скопированная в буфер обмена, содержала случайное число пробелов в конце - вероятно, для изменения хеша и обхода сигнатурных детекторов.

После вставки команды в окно "Выполнить" (Win+R) PowerShell загружал скрипт st.txt с IP-адреса 64.95.13[.]238. Этот скрипт скрывал окно консоли с помощью вызова user32.dll, загружал второй скрипт payload.php и выполнял его. В свою очередь, payload.php содержал зашифрованный AES-CBC код, который после расшифровки представлял собой полный функционал SmartRAT - трояна, идентифицирующего себя строкой SMART_V25.

SmartRAT реализован целиком на PowerShell и обеспечивает удалённое управление мышью, клавиатурой, захват экрана, кейлоггинг и перехват QR-кодов. Для связи с командным сервером (C2) используется порт 51888, данные шифруются AES-CBC с уникальным вектором инициализации. Первичный C2-домен (c.windowsupdate-cdn[.]com) расшифровывается XOR-ключом 2, запасной IP-адрес (162.141.111[.]227) - ключом 233.

Троян генерирует уникальный идентификатор устройства на основе хеша GUID системы, MAC-адреса и других параметров. Для аутентификации на C2 он вычисляет HMAC-SHA256 с жёстко заданным мастер-ключом. Логи отладки записываются в файлы client_debug.log и process_<PID>.log в каталогах C:\ProgramData\Microsoft\Diagnosis\ETW.

SmartRAT проверяет, запущен ли он с правами LocalSystem, и в зависимости от этого выбирает способ закрепления. При отсутствии привилегий копирует себя в %APPDATA%\Microsoft\Diagnosis\ETW\msedgeupdate.txt и создаёт запланированную задачу MicrosoftEdgeUpdateCore для запуска при входе пользователя. Если задача не создаётся, используется ключ реестра в HKCU\Software\Microsoft\Windows\CurrentVersion\Run. Затем троян запрашивает повышение через UAC: при одобрении компилирует и устанавливает службу Windows с системными правами, а также запускает watchdog, проверяющий активность каждые пять секунд. Если UAC отклонён, SmartRAT запускает скрытый процесс PowerShell и продолжает работу до следующего сеанса входа.

Полученный контроль над системой позволяет операторам выполнять широкий набор команд. Среди них - отображение полноэкранных оверлеев с брендингом бразильских банков (Itaú, Bradesco, Santander, Banco do Brasil, Caixa), блокировка ввода с клавиатуры и мыши, показ форм для ввода конфиденциальных данных, а также перехват QR-кодов на экране. SmartRAT отслеживает заголовки окон и при обнаружении названий банковских или платёжных систем (всего более 20 наименований, включая Nubank, MercadoPago, Binance) отправляет уведомление на C2. Оператор может затем запустить подмену QR-кода: троян определяет координаты оригинального QR на экране и заменяет его изображением, предоставленным атакующим. Жертва сканирует подставной код, авторизуя мошеннический перевод.

Во время анализа панели управления C2 исследователи обнаружили критический недостаток аутентификации. Доступ к веб-панели проверялся только на стороне клиента: если в localStorage браузера присутствовали значения authToken и currentUser, оверлей входа скрывался. Любой пользователь мог задать произвольные значения через консоль разработчика и получить полный доступ к интерфейсу управления ботами, включая список заражённых устройств и команды. Отсутствие серверной проверки свидетельствовало о невнимательности разработчиков, вероятно, полагавшихся на AI-ассистента без последующего аудита безопасности.

Учитывая рост доступности AI-инструментов для генерации контента, подобные атаки станут более частыми. Использование нейросетей позволяет злоумышленникам быстро создавать правдоподобные фишинговые страницы и автоматизировать цепочки заражения. Для защиты от ClickFix-кампаний рекомендуется обучать персонал не вставлять скопированные команды в консоль по инструкциям с веб-сайтов, а также использовать политики AppLocker или Windows Defender Application Control для блокировки выполнения неподписанных PowerShell-скриптов. Организациям, работающим с бразильскими финансовыми учреждениями, следует усилить мониторинг тайпсквоттинговых доменов и сетевой активности на порту 51888.

Индикаторы компрометации

IPv4

  • 162.141.111.227
  • 64.95.13.238

Domains

  • cartaobb.com
  • crefisa.online
  • vfsgloball.net
  • windowsupdate-cdn.com

MD5

  • 297eb45f028d44d750297d2f932b9c91
  • 3c72e1f37f115b00c3ad6ed31bacfe8a
  • 6bf4d4c62b5138ace281ce3d08297787
  • b17ccdb5531555e43f082d6e77c07227

Комментарии: 0