サイバーセキュリティ研究者たちが、AIで生成されたウェブサイトを使ってユーザーを騙し、危険なリモートアクセス型トロイの木馬(RAT)をダウンロードさせる新たなマルウェアキャンペーンを発見しました。
このキャンペーンは2026年3月にZscaler ThreatLabzが発見したもので、「ClickFix」と呼ばれる巧妙な手口を用いてブラジルの大手銀行の顧客を標的にしています。
攻撃者は偽のCloudflareのCAPTCHAと擬似的なブルースクリーン(BSOD)を表示することで、被害者に悪意のあるPowerShellコマンドを実行させるよう誘導します。
最終的な感染により配布されるSmartRATは、金融データの窃取と感染システムの完全掌握を目的とした高機能なバンキングマルウェアです。
なお、Trend Microの研究者たちは以前、同様の攻撃手法を追跡しており、このマルウェアを「Banana RAT」と命名しています。
攻撃はまず、ユーザーがcartaobb[.]comのようなタイポスクワッティングドメインにアクセスするところから始まります。このドメインはブラジルの正規銀行を装っています。
研究者たちは、この不正なウェブページにAIが生成したコードコメントが含まれていることを確認しており、脅威アクターが現代的なウェブサイト構築ツールを使って攻撃規模を迅速に拡大していることが示唆されています。
サイトにアクセスすると、標準的なセキュリティチェックを模倣した偽のCloudflare CAPTCHAプロンプトが表示されます。
研究者による分析を妨害するため、このウェブページには開発者ツールを無効化してブラウザのコンソールログを繰り返し消去する検査防止スクリプトが仕込まれています。
ユーザーが偽のCAPTCHAをクリックすると、悪意のあるスクリプトが直ちにPowerShellコマンドを被害者のクリップボードにコピーします。その後、ブラウザは強制的にフルスクリーン表示に切り替わり、偽のBSODエラーメッセージが表示されます。
この画面はシステム回復を促す見せかけとして機能し、罠にはまったユーザーに対して特定のキーコンボを押し、コピーされたコマンドをWindowsの「ファイル名を指定して実行」ダイアログに貼り付けるよう明示的に指示します。
この拘束ルーティンはキーボード入力を制限しつつ、この悪意ある一連の操作を実行するために必要なキーだけを一時的に許可します。
被害者が罠に引っかかると、実行されたPowerShellコマンドがリモートサーバーからステルス型ドロッパースクリプトを取得します。
このドロッパーはコンソールウィンドウを密かに非表示にしたうえで、暗号化されたペイロードをダウンロードし、すぐには疑われることなく実行します。
最終的に復号されるペイロードがSmartRATであり、PowerShellのみで構築された高度な脅威です。システム再起動後も生き残るよう、このマルウェアはスケジュールタスクの作成またはWindowsサービスのインストールによってシステム特権レベルでの永続化を確立します。
SmartRATは金融情報の窃取と監視に特化しています。このマルウェアは、被害者のアクティブウィンドウを常時監視し、主要な銀行、信用組合、およびBinanceやMercadoPagoといった暗号資産プラットフォームに関連するキーワードを検索します。
対象アプリケーションが検出されると、即座に脅威アクターへ通知が送られます。
その後、攻撃者は正規の銀行インターフェースを模倣したフルスクリーンの偽オーバーレイを展開し、ユーザーをだましてパスワードや機密情報を直接入力させます。Zscalerが報告しています。
注意: IPアドレスおよびドメインは、誤ったアクセスやハイパーリンク化を防ぐため、意図的に無害化(例:[.])されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の表記に戻してご使用ください。
翻訳元: https://cyberpress.org/fake-cloudflare-lures-smartrat/
