SOC Prime Bias: Alto

19 Jun 2026 07:36 UTC

ErrTraffic: All’interno di un Crescente Framework di Distribuzione Malware ClickFix

Author Photo
SOC Prime Team linkedin icon Segui
ErrTraffic: All’interno di un Crescente Framework di Distribuzione Malware ClickFix
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riepilogo

ErrTraffic è un framework JavaScript malevolo offerto tramite un modello malware-as-a-service. È principalmente iniettato in siti WordPress compromessi per fornire pagine di ingegneria sociale in stile ClickFix e payload di malware successivi. Il framework utilizza anche la tecnica EtherHiding per scoprire l’infrastruttura command-and-control attraverso contratti intelligenti blockchain.

Indagine

I ricercatori di Sekoia TDR hanno identificato due gruppi di attività separati, chiamati cluster “Analytics” e cluster “Beer”. La loro indagine ha rivelato diversi percorsi di distribuzione, inclusi backdoor PHP per WordPress, attacchi di credential-stuffing per l’accesso iniziale e campagne malvertising che impersonificavano piattaforme di IA. L’analisi forense ha anche evidenziato chiare differenze nello stile di codifica, nell’uso dei comandi e nei modelli di infrastruttura tra i due cluster.

Mitigazione

Le organizzazioni dovrebbero applicare una forte igiene delle credenziali e l’autenticazione multi-fattore per ridurre il rischio di compromissione dell’admin di WordPress. È inoltre essenziale il patching regolare dei plugin di WordPress, specialmente per difetti noti come CVE-2020-25213. I difensori dovrebbero monitorare comportamenti sospetti di PowerShell e traffico anomalo in uscita verso servizi RPC blockchain o domini di primo livello non comuni.

Risposta

Se vengono rilevati indicatori di ErrTraffic, i server web interessati dovrebbero essere isolati immediatamente e tutti gli account WordPress dovrebbero essere esaminati per accessi amministratore non autorizzati. Dovrebbe essere condotta un’indagine forense completa per identificare MU-plugin nascosti e file PHP non autorizzati. Le credenziali potenzialmente esposte dovrebbero essere revocate, e tutte le chiavi API e i segreti amministrativi dovrebbero essere ruotati.

Flusso di Attacco

Esecuzione di Simulazione

Prerequisito: Il Controllo Pre-volo Telemetria & Baseline deve essere superato.

Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

  • Narrativa e Comandi di Attacco: Un attaccante ha ingannato con successo un utente facendolo cliccare su un pulsante “Correggi” su un sito web malevolo. Questo attiva un comando PowerShell progettato per scaricare e decriptare un payload. Per evitare semplici rilevamenti basati su stringhe, lo script utilizza la decrittazione XOR. L’avversario utilizza l’header specifico ErrTraffic <# Verifica del Codice: 656560395146 #> per bypassare alcuni controlli interni o come marcatore per il loro framework. Lo script utilizza [convert]::ToInt32 per elaborare le chiavi XOR e l’operatore -bxor per decrittare i byte del payload.

  • Script di Test di Regressione:

    # Simulazione della routine di decrittazione del payload di ErrTraffic ClickFix PowerShell
    $header = "<# Verifica del Codice: 656560395146 #>"
    $encodedPayload = @(10, 20, 30, 40)
    $key = [convert]::ToInt32("5")
    
    Write-Host "Inizializzazione decrittazione payload..."
    $decrypted = foreach ($byte in $encodedPayload) {
        $byte -bxor $key
    }
    Write-Host "Decrittazione completata."
  • Comandi di Pulizia:

    # Nessuna modifica permanente viene apportata dallo script di simulazione.
    # Semplicemente cancella la console.
    Clear-Host