AI-Generated ClickFix Campaign Delivers SmartRAT Banking Trojan via Fake Brazilian Bank Website
2026/06/18 gbhackers — AI 搭載 Web サイト作成ツールにより生成された、悪意のコンテンツをホストするタイポスクワッティング・ドメインが複数確認された。注目すべきキャンペーンの 1 つでは、AI により作成された銀行の偽のサイトと ClickFix ソーシャル・エンジニアリング誘導が組み合わされ、SmartRAT という名の PowerShell ベースの RAT (リモート・アクセス型トロイの木馬) が配信されていた。
この活動が示すのは、低コストの AI ツールが攻撃者の開発負担を軽減しながら、高度なポスト・エクスプロイト機能を維持している状況である。つまり、AI を活用する攻撃インフラの構築や運用のハードルが、大幅に引き下げられる。
脅威アクターは、正規の銀行ドメインに酷似したタイポスクワッティング・ドメイン “cartaobb[.]com” を登録し、AI による Web サイト生成を示唆する高精細なビジュアルと、テンプレート化されたコードとコメントでサイトを構成していた。この不正ページでは、クレジットカード申請フォームが提供され、Cloudflare 風の CAPTCHA も表示されていた。
被害者が偽 CAPTCHA をクリックすると、クライアント側スクリプトが PowerShell コマンドをクリップボードへコピーし、ブラウザを強制的にフルスクリーン化した上で、偽の Blue Screen of Death (BSOD) による “システム復旧画面” を表示する。
このロックダウン・ルーチンは、一般的な DevTools ショートカットを無効化し、コンソールを繰り返してクリアする。さらに、大半のキー入力をブロックするとともに、貼り付けと Enter のみを許可し、タブへのフォーカスを維持することで、コピーされたコマンドの貼り付けと実行をユーザーに対して強要していた。
クリップボードへコピーされた PowerShell コマンドは、ハードコードされた IP アドレスからステルス・ドロッパー (st.txt) を取得し、”user32.dll” を介して PowerShell ウィンドウを非表示にすることで、不可視の状態で実行していた。
2026年3月に Zscaler ThreatLabz が報告していたのは、説得力のあるタイポスクワッティング・ページを、AI 搭載 Web サイト・ビルダーを用いて大規模に生成する、脅威アクターの活動が拡大していることである。
事前定義された標的リストと、ウィンドウ・タイトルが一致した場合に、SmartRAT はタイトル/一致したキーワード/プロセス名/タイムスタンプを記録し、この情報を BrowserAlert (メッセージ・タイプ 0x80) として SmartRAT C2 サーバへ送信する。
このドロッパーは、デコイ・ファイル (msedge.txt) を保存した後に、ハードコードされたキーを用いて AES-CBC 形式の blob を取得/復号することで、SmartRAT ペイロードを生成する。
SmartRAT は PowerShell 内に実装され、埋め込まれた文字列 SMART_V25 により自身を識別している。
SmartRAT のアーキテクチャは、暗号化された C2/リモート制御機能/認証情報窃取オーバーレイ/強固な永続化を中心に構成されている。
2 つの C2 エンドポイント情報が復号されるが、1 つは “c[.]windowsupdate-cdn[.]com” に解決されるドメイン、もう 1 つはフォールバック IP アドレス “162[.]141[.]111[.]227” であり、ポート 51888 で raw TCP 上で通信を行う。この通信では、IV と暗号文を 16 進数区切りのペアとして送信する、AES-CBC フレーミング方式が用いられる。
この RAT は一意のマシン・トークンを生成し、ハードコードされたマスターキーを用いて HMAC-SHA256 を計算するほか、同じ文字列は SHA-256 処理後に AES キーの導出にも使用される。また、デバッグ・ログと活動ログは、ProgramData または AppData 配下のパスへ書き込まれ、悪意の動作の隠蔽が図られる。
オペレーターが利用できる機能は広範である。それらを列挙すると、自動スクリーン・キャプチャとストリーミング/DPI 対応座標によるモニター列挙/高優先度キーロガー/クリップボード窃取/ファイル閲覧と情報流出などに加えて、銀行ブランドのセキュリティ・プロンプトや Windows Update および BSOD 画面を模倣する高機能オーバーレイなどがある。
特に SmartRAT は、QR 認可に依存する銀行取引フローを標的化するために、QR コード検出機能と QR オーバーレイ差し替え機能を実装している。それらは、支払確認の傍受や置換を可能にする有効な手法である。
この RAT は、カーソル移動/キーストローク注入/入力の凍結と解除/標的型オーバーレイ表示に加えて、システムの再起動やアンインストールなどを実行するための機能を備えている。
永続化メカニズムには、スケジュール済みタスクと Registry Run キーが用いられる。UAC (ユーザー・アカウント・コントロール) による権限昇格が許可された場合には、SmartRAT は C# サービス・コードをコンパイルして SYSTEM として実行される Windows サービスをインストールする。その一方で、権限昇格に失敗した場合は、非表示の PowerShell プロセスとスケジュール済みタスクへとフォールバックし、ログオン時の権限昇格を再試行する。
さらに SmartRAT は、スクリーン・キャプチャ/入力制御/ロック画面解除のためのセッション・トークン偽装を実行する、C# ヘルパー・コンポーネントをコンパイルして利用する。
Zscaler は、運用上の弱点も特定している。SmartRAT の Web ベース C2 パネルには、localStorage の値である authToken および currentUser のみに依存するクライアント側に限定される認証チェックが実装されていた。
この弱点を突く調査担当者や防御側は、localStorage キーを設定するだけでログインをバイパスでき、その結果として、パネルの管理機能が外部から参照可能となった。それが浮き彫りにするのは、AI 支援型開発ワークフローにおける運用セキュリティの低さである。
また、Trend Micro も同じマルウェア・ファミリーを独自に報告し、Banana RAT と呼んでいる。Zscaler のブログ公開以前に、同社は別の攻撃経路を記録しており、この脅威に関する独自の調査結果を公表していた。
このキャンペーンは、2 つの傾向の収束を示している。1 つ目は、AI サイト・ビルダーにより、攻撃者は説得力のある誘導ページを迅速に生成できる点である。2 つ目は、SmartRAT のようなモジュール型スクリプト・ベース・マルウェアは、コンパイル済みバイナリを用いることなく、成熟したリモート制御機能を提供できる点である。
防御側にとって必要なことは、タイポスクワッティング登録を監視するとともに、クリップボード経由で貼り付けられたコマンド実行に対する多層的な検知を適用することである。さらに、非標準ポート上の異常な TCP 通信や、ドメインから IP アドレスへのフォールバックに対するネットワーク・シグネチャによる検知を優先すべきである。
侵害インジケータ (IOC)
| IOC | 説明 |
|---|---|
| crefisa[.]online | 不正ドメイン |
| vfsgloball[.]net | 不正ドメイン |
| cartaobb.com | 不正ドメイン |
| windowsupdate-cdn[.]com | C2 ドメイン |
| 297eb45f028d44d750297d2f932b9c91 | st.txt |
| 6bf4d4c62b5138ace281ce3d08297787 | payload[.]php |
| 3c72e1f37f115b00c3ad6ed31bacfe8a | PowerShell RAT |
| b17ccdb5531555e43f082d6e77c07227 | PowerShell RAT |
| 64[.]95[.]13[.]238 | C2 IP |
| 162[.]141[.]111[.]227 | C2 IP |
注記:IP アドレスおよびドメインは、意図しない名前解決やハイパーリンク化を防ぐため意図的に無害化されている (例:[.])。再有効化 (re-fang) は、MISP/VirusTotal/SIEM などの管理された脅威インテリジェンス・プラットフォーム内でのみ実施すること。
訳者後書:今回の問題の原因は、AI 技術の悪用により、高度な偽サイトが低コストで大量に作成可能になった点にあります。これに ClickFix が組み合わされ、巧妙な画面ロックやキー入力の制限により、不正なコマンドの実行へと誘導されます。さらに、マルウェア自体が PowerShell で実装されているため、バイナリをコンパイルすることなく強力なリモート制御や情報窃取が行えることも、被害を広げる要因です。よろしければ、ClickFix での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.