ErrTraffic: All’interno di un Crescente Framework di Distribuzione Malware ClickFix

SOC Prime Team

Segui

ErrTraffic: All’interno di un Crescente Framework di Distribuzione Malware ClickFix

Detection stack

AIDR
Alert
ETL
Query

Rapporto
Flusso di Attacco
Rilevamenti
Simulazioni

Riepilogo

ErrTraffic è un framework JavaScript malevolo offerto tramite un modello malware-as-a-service. È principalmente iniettato in siti WordPress compromessi per fornire pagine di ingegneria sociale in stile ClickFix e payload di malware successivi. Il framework utilizza anche la tecnica EtherHiding per scoprire l’infrastruttura command-and-control attraverso contratti intelligenti blockchain.

Indagine

I ricercatori di Sekoia TDR hanno identificato due gruppi di attività separati, chiamati cluster “Analytics” e cluster “Beer”. La loro indagine ha rivelato diversi percorsi di distribuzione, inclusi backdoor PHP per WordPress, attacchi di credential-stuffing per l’accesso iniziale e campagne malvertising che impersonificavano piattaforme di IA. L’analisi forense ha anche evidenziato chiare differenze nello stile di codifica, nell’uso dei comandi e nei modelli di infrastruttura tra i due cluster.

Mitigazione

Le organizzazioni dovrebbero applicare una forte igiene delle credenziali e l’autenticazione multi-fattore per ridurre il rischio di compromissione dell’admin di WordPress. È inoltre essenziale il patching regolare dei plugin di WordPress, specialmente per difetti noti come CVE-2020-25213. I difensori dovrebbero monitorare comportamenti sospetti di PowerShell e traffico anomalo in uscita verso servizi RPC blockchain o domini di primo livello non comuni.

Risposta

Se vengono rilevati indicatori di ErrTraffic, i server web interessati dovrebbero essere isolati immediatamente e tutti gli account WordPress dovrebbero essere esaminati per accessi amministratore non autorizzati. Dovrebbe essere condotta un’indagine forense completa per identificare MU-plugin nascosti e file PHP non autorizzati. Le credenziali potenzialmente esposte dovrebbero essere revocate, e tutte le chiavi API e i segreti amministrativi dovrebbero essere ruotati.

graph TB %% Definizione delle classi classDef reconnaissance fill:#f9f,stroke:#333,stroke-width:2px classDef execution fill:#ff9,stroke:#333,stroke-width:2px classDef persistence fill:#9f9,stroke:#333,stroke-width:2px classDef command_control fill:#9cf,stroke:#333,stroke-width:2px classDef delivery fill:#f96,stroke:#333,stroke-width:2px %% Sezione ricognizione e accesso iniziale recon_cred[“Tecnica – T1589.001 Raccolta informazioni sull’identità della vittima: Credenziali Descrizione: Utilizzo di credenziali amministrative rubate per accedere ai siti WordPress.”] class recon_cred reconnaissance recon_drive_by[“Tecnica – T1189 Compromissione tramite navigazione Descrizione: Utilizzo di pubblicità malevola per reindirizzare gli utenti verso siti web che imitano piattaforme IA come ChatGPT.”] class recon_drive_by reconnaissance %% Sezione esecuzione exec_clickfix[“Tecnica – T1204.004 Esecuzione dell’utente: Copia e incolla malevolo Descrizione: Utilizzo della tecnica ClickFix con falsi messaggi di errore come BSOD o reCAPTCHA per indurre gli utenti a eseguire comandi PowerShell.”] class exec_clickfix execution %% Sezione persistenza e C2 pers_webshell[“Tecnica – T1505.003 Componente software del server: Web Shell Descrizione: Distribuzione di backdoor PHP come session-manager.php MU-Plugin o Responsive Webshell.”] class pers_webshell persistence pers_valid_acc[“Tecnica – T1078 Account validi Descrizione: Mantiene l’accesso tramite la dashboard WordPress compromessa utilizzando credenziali legittime.”] class pers_valid_acc persistence c2_etherhiding[“Tecnica – EtherHiding Descrizione: Facilita la comunicazione con l’infrastruttura C2 utilizzando smart contract blockchain come Dead Drop Resolver.”] class c2_etherhiding command_control %% Sezione distribuzione payload e accesso alle credenziali del_ingress[“Tecnica – T1105 Trasferimento degli strumenti in ingresso Descrizione: Utilizzo di PowerShell per scaricare ed estrarre binari malevoli tramite 7z.”] class del_ingress delivery acc_cred_access[“Tecnica – T1539 Accesso alle credenziali Descrizione: Famiglie malware esfiltrano credenziali rubate, cookie di sessione web e dati sensibili WooCommerce.”] class acc_cred_access delivery malware_stealer[“Malware – Vidar o Stealc Descrizione: Infostealer utilizzati per esfiltrare dati verso domini controllati dagli aggressori.”] class malware_stealer delivery %% Flusso delle connessioni recon_cred –>|porta_a| exec_clickfix recon_drive_by –>|porta_a| exec_clickfix exec_clickfix –>|attiva| pers_webshell exec_clickfix –>|attiva| pers_valid_acc pers_webshell –>|facilita| c2_etherhiding pers_valid_acc –>|facilita| c2_etherhiding c2_etherhiding –>|controlla| del_ingress del_ingress –>|distribuisce| malware_stealer malware_stealer –>|esegue| acc_cred_access

Flusso di Attacco

Rilevamenti

Possibili Indicatori di Offuscamento PowerShell (via powershell)

Team SOC Prime

18 Giugno 2026

Visualizza

Voce RunMRU Sospetta con Semantica LOLBin (via registry_event)

Team SOC Prime

18 Giugno 2026

Visualizza

Rilevamento Comando PowerShell ErrTraffic ClickFix [Windows Powershell]

Regole AI di SOC Prime

18 Giugno 2026

Visualizza

Esecuzione di Simulazione

Prerequisito: Il Controllo Pre-volo Telemetria & Baseline deve essere superato.

Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

Narrativa e Comandi di Attacco: Un attaccante ha ingannato con successo un utente facendolo cliccare su un pulsante “Correggi” su un sito web malevolo. Questo attiva un comando PowerShell progettato per scaricare e decriptare un payload. Per evitare semplici rilevamenti basati su stringhe, lo script utilizza la decrittazione XOR. L’avversario utilizza l’header specifico ErrTraffic <# Verifica del Codice: 656560395146 #> per bypassare alcuni controlli interni o come marcatore per il loro framework. Lo script utilizza [convert]::ToInt32 per elaborare le chiavi XOR e l’operatore -bxor per decrittare i byte del payload.

Script di Test di Regressione:

# Simulazione della routine di decrittazione del payload di ErrTraffic ClickFix PowerShell
$header = "<# Verifica del Codice: 656560395146 #>"
$encodedPayload = @(10, 20, 30, 40)
$key = [convert]::ToInt32("5")

Write-Host "Inizializzazione decrittazione payload..."
$decrypted = foreach ($byte in $encodedPayload) {
    $byte -bxor $key
}
Write-Host "Decrittazione completata."

Comandi di Pulizia:

# Nessuna modifica permanente viene apportata dallo script di simulazione.
# Semplicemente cancella la console.
Clear-Host

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis