ErrTraffic : À l’intérieur d’un cadre de distribution de logiciel malveillant ClickFix en pleine croissance

Résumé

ErrTraffic est un cadre JavaScript malveillant proposé via un modèle de malware en tant que service. Il est principalement injecté dans des sites WordPress compromis pour livrer des pages d’ingénierie sociale de style ClickFix et des charges utiles malveillantes ultérieures. Le cadre utilise également la technique EtherHiding pour découvrir l’infrastructure de commande et de contrôle via des contrats intelligents sur la blockchain.

Enquête

Les chercheurs de Sekoia TDR ont identifié deux clusters d’activité distincts, appelés le cluster « Analytics » et le cluster « Beer ». Leur enquête a révélé plusieurs chemins de déploiement, y compris des portes dérobées PHP WordPress, des attaques par bourrage d’identifiants pour l’accès initial et des campagnes de malvertising imitant des plateformes d’IA. L’analyse médico-légale a également montré des différences claires dans le style de codage, l’utilisation des commandes et les modèles d’infrastructure entre les deux clusters.

Atténuation

Les organisations devraient appliquer une hygiène stricte des identifiants et une authentification multi-facteurs pour réduire le risque de compromission d’administrateur WordPress. La mise à jour régulière des plugins WordPress est également essentielle, en particulier pour les failles connues telles que CVE-2020-25213. Les défenseurs doivent surveiller les comportements suspects de PowerShell et le trafic sortant inhabituel vers les services RPC blockchain ou les domaines de premier niveau inhabituels.

Réponse

Si des indicateurs d’ErrTraffic sont détectés, les serveurs web affectés doivent être isolés immédiatement et tous les comptes WordPress vérifiés pour un accès administrateur non autorisé. Un balayage judiciaire complet doit être effectué pour identifier les MU-plugins cachés et les fichiers PHP non autorisés. Les identifiants potentiellement exposés doivent être révoqués, et toutes les clés API et les secrets administratifs doivent être renouvelés.

Exécution de la simulation

Prérequis : Le contrôle de prévol de télémétrie et de référence doit avoir réussi.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Les exemples abstraits ou non liés entraîneront un mauvais diagnostic.

• Narration et commandes d’attaque : Un attaquant a réussi à tromper un utilisateur pour qu’il clique sur un bouton « Fix » sur un site web malveillant. Cela déclenche une commande PowerShell conçue pour télécharger et déchiffrer une charge utile. Pour échapper à une détection basée sur des chaînes simples, le script utilise le déchiffrement XOR. L’adversaire utilise l’en-tête spécifique ErrTraffic <# Vérification du code : 656560395146 #> pour contourner certains contrôles internes ou comme un marqueur pour leur propre cadre. Le script utilise [convert]::ToInt32 pour traiter les clés XOR et l’opérateur -bxor pour déchiffrer les octets de la charge utile.

• Script de test de régression :

  # Simulation de la routine de déchiffrement de la charge utile ErrTraffic ClickFix PowerShell
  $header = "<# Vérification du code : 656560395146 #>"
  $encodedPayload = @(10, 20, 30, 40)
  $key = [convert]::ToInt32("5")
  
  Write-Host "Initialisation du déchiffrement de la charge utile..."
  $decrypted = foreach ($byte in $encodedPayload) {
      $byte -bxor $key
  }
  Write-Host "Déchiffrement terminé."

• Commandes de nettoyage :

  # Aucune modification permanente n'est effectuée par le script de simulation.
  # Il suffit de vider la console.
  Clear-Host