ErrTraffic: All’interno di un Crescente Framework di Distribuzione Malware ClickFix
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
ErrTraffic è un framework JavaScript malevolo offerto tramite un modello malware-as-a-service. È principalmente iniettato in siti WordPress compromessi per fornire pagine di ingegneria sociale in stile ClickFix e payload di malware successivi. Il framework utilizza anche la tecnica EtherHiding per scoprire l’infrastruttura command-and-control attraverso contratti intelligenti blockchain.
Indagine
I ricercatori di Sekoia TDR hanno identificato due gruppi di attività separati, chiamati cluster “Analytics” e cluster “Beer”. La loro indagine ha rivelato diversi percorsi di distribuzione, inclusi backdoor PHP per WordPress, attacchi di credential-stuffing per l’accesso iniziale e campagne malvertising che impersonificavano piattaforme di IA. L’analisi forense ha anche evidenziato chiare differenze nello stile di codifica, nell’uso dei comandi e nei modelli di infrastruttura tra i due cluster.
Mitigazione
Le organizzazioni dovrebbero applicare una forte igiene delle credenziali e l’autenticazione multi-fattore per ridurre il rischio di compromissione dell’admin di WordPress. È inoltre essenziale il patching regolare dei plugin di WordPress, specialmente per difetti noti come CVE-2020-25213. I difensori dovrebbero monitorare comportamenti sospetti di PowerShell e traffico anomalo in uscita verso servizi RPC blockchain o domini di primo livello non comuni.
Risposta
Se vengono rilevati indicatori di ErrTraffic, i server web interessati dovrebbero essere isolati immediatamente e tutti gli account WordPress dovrebbero essere esaminati per accessi amministratore non autorizzati. Dovrebbe essere condotta un’indagine forense completa per identificare MU-plugin nascosti e file PHP non autorizzati. Le credenziali potenzialmente esposte dovrebbero essere revocate, e tutte le chiavi API e i segreti amministrativi dovrebbero essere ruotati.
Flusso di Attacco
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-volo Telemetria & Baseline deve essere superato.
Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrativa e Comandi di Attacco: Un attaccante ha ingannato con successo un utente facendolo cliccare su un pulsante “Correggi” su un sito web malevolo. Questo attiva un comando PowerShell progettato per scaricare e decriptare un payload. Per evitare semplici rilevamenti basati su stringhe, lo script utilizza la decrittazione XOR. L’avversario utilizza l’header specifico ErrTraffic
<# Verifica del Codice: 656560395146 #>per bypassare alcuni controlli interni o come marcatore per il loro framework. Lo script utilizza[convert]::ToInt32per elaborare le chiavi XOR e l’operatore-bxorper decrittare i byte del payload. -
Script di Test di Regressione:
# Simulazione della routine di decrittazione del payload di ErrTraffic ClickFix PowerShell $header = "<# Verifica del Codice: 656560395146 #>" $encodedPayload = @(10, 20, 30, 40) $key = [convert]::ToInt32("5") Write-Host "Inizializzazione decrittazione payload..." $decrypted = foreach ($byte in $encodedPayload) { $byte -bxor $key } Write-Host "Decrittazione completata." -
Comandi di Pulizia:
# Nessuna modifica permanente viene apportata dallo script di simulazione. # Semplicemente cancella la console. Clear-Host