SOC Prime Bias: Hoch

19 Jun 2026 07:36 UTC

ErrTraffic: Ein wachsendes ClickFix-Malware-Verteilungsframework im Detail

Author Photo
SOC Prime Team linkedin icon Folgen
ErrTraffic: Ein wachsendes ClickFix-Malware-Verteilungsframework im Detail
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

ErrTraffic ist ein bösartiges JavaScript-Framework, das im Rahmen eines Malware-as-a-Service-Modells angeboten wird. Es wird hauptsächlich in kompromittierte WordPress-Websites injiziert, um ClickFix-Style Social Engineering-Seiten und nachfolgende Malware-Payloads bereitzustellen. Das Framework verwendet auch die EtherHiding-Technik, um die Command-and-Control-Infrastruktur durch Blockchain-Smart-Verträge zu entdecken.

Untersuchung

Forscher von Sekoia TDR identifizierten zwei separate Aktivitätscluster, die als „Analytics“-Cluster und „Beer“-Cluster bezeichnet werden. Ihre Untersuchung offenbarte mehrere Bereitstellungspfade, darunter WordPress PHP-Hintertüren, Credential-Stuffing-Angriffe für den anfänglichen Zugriff und Malvertising-Kampagnen, die AI-Plattformen vortäuschten. Die forensische Analyse zeigte auch klare Unterschiede in der Codierweise, der Befehlsnutzung und den Infrastrukturmustern zwischen den beiden Clustern.

Minderung

Organisationen sollten eine starke Anmeldeinformationen-Hygiene und Multi-Faktor-Authentifizierung durchsetzen, um das Risiko eines WordPress-Admin-Kompromisses zu verringern. Regelmäßige Patches von WordPress-Plugins sind ebenfalls unerlässlich, insbesondere für bekannte Schwachstellen wie CVE-2020-25213. Verteidiger sollten verdächtiges PowerShell-Verhalten und ungewöhnlichen ausgehenden Datenverkehr zu Blockchain-RPC-Diensten oder ungewöhnlichen Top-Level-Domains überwachen.

Reaktion

Wenn ErrTraffic-Indikatoren erkannt werden, sollten betroffene Webserver sofort isoliert und alle WordPress-Konten auf unbefugten Administratorzugriff überprüft werden. Eine vollständige forensische Prüfung sollte durchgeführt werden, um versteckte MU-Plugins und unbefugte PHP-Dateien zu identifizieren. Potenziell exponierte Anmeldeinformationen sollten widerrufen und alle API-Schlüssel und administrativen Geheimnisse sollten ausgetauscht werden.

Angriffsfluss

Simulation der Ausführung

Voraussetzung: Die Telemetrie- und Basislinien-Vorflugkontrolle muss bestanden werden.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführungstechnik des Angreiferansatzes (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und dazu dienen, die exakt erwartete Telemetrie durch die Erkennungslogik zu erzeugen. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.

  • Angriffs-Narrativ & Befehle: Ein Angreifer hat erfolgreich einen Benutzer dazu verleitet, auf eine „Fix“-Schaltfläche auf einer bösartigen Website zu klicken. Dies löst einen PowerShell-Befehl aus, der darauf ausgelegt ist, eine Nutzlast herunterzuladen und zu entschlüsseln. Um einfache string-basierte Erkennungen zu umgehen, verwendet das Skript XOR-Entschlüsselung. Der Angreifer verwendet den spezifischen ErrTraffic-Header <# Codeüberprüfung: 656560395146 #> um bestimmte interne Prüfungen zu umgehen oder als Marker für ihr eigenes Framework. Das Skript verwendet [convert]::ToInt32 um die XOR-Schlüssel zu verarbeiten und den -bxor Operator zur Entschlüsselung der Nutzlastbytes.

  • Regressionstestskript:

    # Simulation der ErrTraffic ClickFix PowerShell-Nutzlastentschlüsselungsroutine
    $header = "<# Codeüberprüfung: 656560395146 #>"
    $encodedPayload = @(10, 20, 30, 40)
    $key = [convert]::ToInt32("5")
    
    Write-Host "Nutzlastentschlüsselung initialisieren..."
    $decrypted = foreach ($byte in $encodedPayload) {
        $byte -bxor $key
    }
    Write-Host "Entschlüsselung abgeschlossen."
  • Bereinigungsbefehle:

    # Durch das Simulationsskript werden keine dauerhaften Änderungen vorgenommen.
    # Einfach die Konsole leeren.
    Clear-Host