Исследователи Zscaler ThreatLabz разобрали новую ClickFix-кампанию, в которой злоумышленники используют фальшивую проверку Cloudflare и поддельный «синий экран смерти» Windows для установки SmartRAT. Это вредоносная программа удаленного доступа, написанная на PowerShell и заточенная под банковское мошенничество.
Целевая аудитория кампании — пользователи одного из бразильских банков. Атака начинается с тайпсквоттингового домена: адрес похож на настоящий сайт банка, но содержит небольшое отличие. Такой прием рассчитан на невнимательность и доверие к знакомому бренду.
На поддельной странице пользователю предлагают оформить кредитную карту. После этого сайт показывает фальшивую проверку Cloudflare CAPTCHA. Настоящая проверка Cloudflare не просит запускать команды в Windows. В этой атаке все строится именно на этом отличии. После клика по фальшивой CAPTCHA сайт копирует вредоносную команду в буфер обмена, переводит браузер в полноэкранный режим и показывает поддельный экран сбоя системы.
Дальше включается ClickFix — техника социальной инженерии, где пользователя убеждают «починить» несуществующую проблему вручную. Жертве показывают инструкцию: открыть окно, вставить уже скопированную команду и нажать Enter. На деле это запускает цепочку заражения.
Технически атака не использует уязвимость Windows или браузера. Пользователь сам выполняет команду, потому что думает, что исправляет сбой, проходит проверку или восстанавливает доступ к сайту.
Zscaler отмечает, что страница выглядит как созданная с помощью ИИ-инструментов или современных конструкторов сайтов. В коде нашли шаблонные комментарии и структуру, характерную для автоматически сгенерированных страниц.
Страница также пытается мешать анализу. Скрипты блокируют горячие клавиши для открытия инструментов разработчика, очищают консоль и удерживают окно в полноэкранном режиме. После появления фальшивого BSOD страница старается не дать пользователю быстро переключиться или закрыть вкладку. При этом часть клавиш временно оставляют рабочей, потому что они нужны для выполнения ClickFix-сценария.
После запуска команды начинается загрузка следующих этапов. Цепочка использует PowerShell, скрывает окно консоли, подтягивает удаленный скрипт, расшифровывает полезную нагрузку и запускает SmartRAT.
SmartRAT Zscaler описывает как PowerShell-based RAT — троян удаленного доступа на PowerShell. Он умеет шифровать связь с управляющим сервером, обеспечивать удаленное управление экраном, клавиатурой и мышью, закрепляться в системе через планировщик задач и службу Windows.
Банковская специализация видна по функциям. Вредонос может показывать поддельные формы ввода паролей в стиле банковских интерфейсов, перехватывать нажатия клавиш, работать с оверлеями и отслеживать QR-коды. Для Бразилии это особенно чувствительно из-за популярности Pix — местной системы мгновенных платежей, где QR-код часто участвует в переводе денег.
Trend Micro ранее описала близкую вредоносную семью под названием Banana RAT. В исследовании фигурирует кластер SHADOW-WATER-063, тоже нацеленный на Бразилию, PowerShell-клиент, запуск в памяти, полиморфная доставка и банковские сценарии. Zscaler отмечает, что SmartRAT связан с этой же линией активности, но в их разборе используется другие имя и путь заражения.
ClickFix-атаки быстро расползаются по разным кампаниям. В 2026 году Malwarebytes описывала случай, где более 700 сайтов на Ghost CMS были скомпрометированы через уязвимость и использовались для показа фальшивой Cloudflare-проверки. Посетителей просили выполнить команду Windows под видом продолжения доступа к сайту.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
