ErrTraffic: Dentro de un Creciente Marco de Distribución de Malware ClickFix
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
ErrTraffic es un marco de JavaScript malicioso ofrecido a través de un modelo de malware como servicio. Principalmente, se inyecta en sitios web de WordPress comprometidos para entregar páginas de ingeniería social estilo ClickFix y cargas útiles de malware posteriores. El marco también utiliza la técnica EtherHiding para descubrir infraestructura de comando y control a través de contratos inteligentes en blockchain.
Investigación
Los investigadores de Sekoia TDR identificaron dos clústeres de actividad separados, denominados clúster “Analytics” y clúster “Beer”. Su investigación reveló varias rutas de despliegue, incluyendo puertas traseras PHP de WordPress, ataques de relleno de credenciales para el acceso inicial y campañas de malvertising que se hicieron pasar por plataformas de IA. El análisis forense también mostró claras diferencias en el estilo de codificación, uso de comandos y patrones de infraestructura entre los dos clústeres.
Mitigación
Las organizaciones deben reforzar la higiene de las credenciales y aplicar autenticación multifactor para reducir el riesgo de comprometer el administrador de WordPress. También es esencial la actualización regular de los plugins de WordPress, especialmente para fallos conocidos como CVE-2020-25213. Los defensores deben monitorizar el comportamiento sospechoso de PowerShell y el tráfico de salida inusual hacia servicios de RPC de blockchain o dominios de nivel superior poco comunes.
Respuesta
Si se detectan indicadores de ErrTraffic, los servidores web afectados deben aislarse inmediatamente y todas las cuentas de WordPress deben revisarse para detectar accesos no autorizados de administrador. Se debe llevar a cabo un barrido forense completo para identificar MU-plugins ocultos y archivos PHP no autorizados. Se deben revocar las credenciales potencialmente expuestas, y todas las claves API y secretos administrativos deben rotarse.
Flujo de Ataque
Ejecución de Simulación
Prerrequisito: La comprobación previa de Telemetría & Baseline debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica adversaria (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.
-
Narrativa de Ataque y Comandos: Un atacante ha engañado exitosamente a un usuario para que haga clic en un botón de «Reparar» en un sitio web malicioso. Esto activa un comando PowerShell diseñado para descargar y descifrar una carga útil. Para evadir la detección simple basada en cadenas, el script utiliza la des-cifrado XOR. El adversario utiliza el encabezado específico ErrTraffic
<# Verificación de Código: 656560395146 #>para evitar ciertos controles internos o como marcador para su propio marco. El script utiliza[convert]::ToInt32para procesar las claves XOR y el-bxoroperador para descifrar los bytes de la carga útil. -
Script de Prueba de Regresión:
# Simulación de la rutina de descifrado de la carga útil de ErrTraffic ClickFix en PowerShell $header = "<# Verificación de Código: 656560395146 #>" $encodedPayload = @(10, 20, 30, 40) $key = [convert]::ToInt32("5") Write-Host "Inicializando descifrado de carga útil..." $decrypted = foreach ($byte in $encodedPayload) { $byte -bxor $key } Write-Host "Descifrado completo." -
Comandos de Limpieza:
# No se hacen cambios permanentes con el script de simulación. # Simplemente limpia la consola. Clear-Host