Một chiến dịch tấn công mạng mới đã nổi lên, sử dụng các trang lữ hành được chế tác tinh vi và các thủ thuật PowerShell để triển khai một phần mềm độc hại nguy hiểm có tên là SmartRAT. Cuộc tấn công nhắm vào khách hàng ngân hàng Brazil, kết hợp kỹ thuật xã hội với các trang web do AI tạo ra để làm cho mối đe dọa trở nên chân thực đáng báo động. Các nhà nghiên cứu cho biết chiến dịch này đánh dấu một sự thay đổi đáng lo ngại trong cách kẻ tấn công xây dựng và triển khai các công cụ của họ. Để bảo vệ hệ thống, việc cập nhật bản vá kịp thời và nhận thức về các mối đe dọa mới là vô cùng quan trọng.
Kỹ thuật Lữ hành và Xâm nhập của SmartRAT
Kẻ tấn công thiết lập một trang web giả mạo, bắt chước một ngân hàng Brazil nổi tiếng, hoàn chỉnh với trang ứng dụng thẻ tín dụng thuyết phục và lời nhắc xác minh bảo mật giả.
Sau khi người dùng tương tác với trang, họ bị ép chạy một lệnh PowerShell độc hại, âm thầm tải xuống và cài đặt SmartRAT. Phần mềm độc hại này có khả năng ghi lại thao tác gõ phím, chụp ảnh màn hình, chặn mã QR và hiển thị các biểu mẫu ngân hàng giả toàn màn hình để đánh cắp thông tin đăng nhập.
Các nhà phân tích từ Zscaler ThreatLabz, người đầu tiên phát hiện chiến dịch này vào tháng 3 năm 2026, cho biết trong một báo cáo rằng trang lừa đảo này có khả năng được xây dựng bằng một công cụ tạo trang web hỗ trợ AI.
Các nhà nghiên cứu đã tìm thấy các dấu hiệu nhận biết của mã do AI tạo ra trong mã nguồn trang, bao gồm các nhận xét phần mẫu và cấu trúc tự động là những kết quả phổ biến từ các công cụ này. Điều làm cho chiến dịch này đặc biệt nguy hiểm là cách nó xếp lớp nhiều kỹ thuật lừa dối lên nhau.
ClickFix và Kỹ thuật Lừa đảo
Trang lữ hành ban đầu hiển thị một CAPTCHA Cloudflare giả, sau đó kích hoạt một Màn hình Xanh chết chóc (Blue Screen of Death) giả để làm nạn nhân hoảng loạn và làm theo hướng dẫn.
Kỹ thuật này, được gọi là ClickFix, thuyết phục nạn nhân rằng hệ thống của họ đã gặp sự cố và chạy một lệnh cụ thể là cách duy nhất để phục hồi.
Cơ chế Hoạt động của SmartRAT
SmartRAT là một công cụ truy cập từ xa đầy đủ tính năng, được viết hoàn toàn bằng PowerShell, có khả năng thâm nhập sâu vào bất kỳ hệ thống nào nó lây nhiễm.
Phần mềm độc hại này giám sát các cửa sổ trình duyệt cho các hoạt động ngân hàng và cảnh báo người điều hành ngay khi nạn nhân mở một ứng dụng hoặc trang web tài chính.
Sau đó, kẻ tấn công có thể chiếm quyền điều khiển màn hình, tiêm các tổ hợp phím, chặn đầu vào của nạn nhân và đánh cắp bất kỳ dữ liệu nào được nhập.
Quá trình lây nhiễm bắt đầu khi nạn nhân dán một lệnh PowerShell vào hộp thoại Chạy của Windows, mà không hề hay biết rằng nó đã bị trang độc hại âm thầm đặt vào bảng nhớ tạm của họ.
Lệnh đó kết nối với một máy chủ từ xa tại 64.95.13.238 và tải xuống một tệp có tên st.txt, hoạt động như một trình thả ẩn.
Trình thả sau đó lấy một tệp thứ hai, payload.php, chứa một tập lệnh PowerShell được mã hóa AES, tập lệnh này sẽ giải nén và thực thi SmartRAT.
Che giấu và Tăng quyền
SmartRAT che giấu bản thân bằng cách ngụy trang các tệp và tác vụ theo lịch của nó dưới tên cập nhật của Microsoft Edge, hòa lẫn vào các quy trình hợp pháp của Windows.
Nó cố gắng tăng quyền bằng cách yêu cầu phê duyệt UAC (User Account Control). Nếu được cấp, nó sẽ tự cài đặt làm dịch vụ Windows dưới quyền truy cập cấp SYSTEM.
Ngay cả khi người dùng từ chối yêu cầu đó, SmartRAT vẫn tồn tại thông qua một quy trình PowerShell ẩn và một mục khởi động dựa trên registry.
Sử dụng AI trong Phát triển và Điều khiển
Một khám phá đáng chú ý là kẻ tấn công cũng sử dụng các công cụ AI để xây dựng bảng điều khiển chỉ huy và kiểm soát (command-and-control) của họ, một giao diện web được sử dụng để quản lý các máy bị nhiễm.
Các nhà nghiên cứu phát hiện ra rằng hệ thống đăng nhập của bảng điều khiển hoàn toàn ở phía máy khách, nghĩa là bất kỳ ai cũng có thể bỏ qua nó bằng cách đặt hai giá trị vào bộ nhớ cục bộ của trình duyệt.
Khoảng trống bảo mật cơ bản này cho thấy mã được viết mà không có sự xem xét đúng đắn, một kết quả có khả năng từ việc phát triển nhanh chóng, được hỗ trợ bởi AI.
Bảng điều khiển MyGood PRO
Bảng điều khiển C2, được đặt tên là MyGood PRO, cung cấp cho người vận hành một bảng điều khiển trực tiếp về các nạn nhân được kết nối cùng với khả năng lệnh thời gian thực.
Người vận hành có thể truyền màn hình của nạn nhân, hoán đổi mã QR trên các trang ngân hàng để chuyển hướng các giao dịch thanh toán và tiêm các biểu mẫu xác minh ngân hàng giả để thu hoạch mật khẩu.
Nền tảng này nhắm mục tiêu vào hơn một chục ngân hàng và dịch vụ thanh toán của Brazil, cho thấy đây là một hoạt động có mục tiêu và được tài trợ tốt.
Khuyến nghị Bảo mật
Để duy trì sự bảo vệ, người dùng nên thận trọng với bất kỳ trang web nào yêu cầu họ dán các lệnh vào máy tính của mình, ngay cả khi trang đó trông giống như một ngân hàng hợp pháp hoặc lời nhắc bảo mật.
Các tổ chức nên giám sát việc thực thi PowerShell bất thường, các tác vụ theo lịch trình không mong muốn và các kết nối đi đến các địa chỉ IP không xác định. Các công cụ bảo vệ điểm cuối cờ các mối đe dọa dựa trên tập lệnh vẫn là một tuyến phòng thủ quan trọng chống lại các cuộc tấn công như SmartRAT.
Chỉ số Compromise (IoCs)
Lưu ý: Địa chỉ IP và tên miền được cố tình làm mờ (ví dụ: [.]) để ngăn việc phân giải hoặc tạo siêu liên kết vô tình. Chỉ làm rõ lại trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
- IP Address: 64.95.13.238
- File Dropper: st.txt
- Payload File: payload.php
- Malware Name: SmartRAT
- C2 Panel Name: MyGood PRO
