SOC Prime Bias: Alto

19 Jun 2026 07:36 UTC

ErrTraffic: Dentro de um Crescente Framework de Distribuição de Malware ClickFix

Author Photo
SOC Prime Team linkedin icon Seguir
ErrTraffic: Dentro de um Crescente Framework de Distribuição de Malware ClickFix
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

ErrTraffic é uma estrutura maliciosa em JavaScript oferecida por meio de um modelo de malware como serviço. Ela é principalmente injetada em sites WordPress comprometidos para entregar páginas de engenharia social no estilo ClickFix e cargas de malware subsequentes. A estrutura também usa a técnica EtherHiding para descobrir infraestrutura de comando e controle através de contratos inteligentes em blockchain.

Investigação

Pesquisadores do Sekoia TDR identificaram dois clusters de atividade separados, referidos como o cluster “Analytics” e o cluster “Beer”. A investigação revelou vários caminhos de implantação, incluindo backdoors em PHP no WordPress, ataques de preenchimento de credenciais para acesso inicial e campanhas de malvertising que imitaram plataformas de IA. A análise forense também mostrou diferenças claras no estilo de codificação, uso de comandos e padrões de infraestrutura entre os dois clusters.

Mitigação

As organizações devem impor uma forte higiene de credenciais e autenticação multifator para reduzir o risco de comprometimento de administradores do WordPress. Mudanças regulares de plugins do WordPress também são essenciais, especialmente para falhas conhecidas como a CVE-2020-25213. Os defensores devem monitorar comportamentos suspeitos do PowerShell e tráfego de saída incomum para serviços RPC em blockchain ou domínios de nível superior incomuns.

Resposta

Se forem detectados indicadores do ErrTraffic, os servidores web afetados devem ser isolados imediatamente e todas as contas do WordPress devem ser revisadas para acesso administrativo não autorizado. Deve-se realizar um exame forense completo para identificar MU-plugins ocultos e arquivos PHP não autorizados. Credenciais potencialmente expostas devem ser revogadas e todas as chaves de API e segredos administrativos devem ser rotacionados.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação Pré-voo de Telemetria & Linha de Base deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa & Comandos de Ataque: Um atacante enganou com sucesso um usuário para clicar em um botão “Fix” em um site malicioso. Isso aciona um comando PowerShell projetado para baixar e descriptografar uma carga. Para evitar detecções simples baseadas em strings, o script usa descriptografia XOR. O adversário usa o cabeçalho específico ErrTraffic <# Verificação de Código: 656560395146 #> para contornar certas verificações internas ou como um marcador para sua própria estrutura. O script usa [convert]::ToInt32 para processar as chaves XOR e o -bxor operador para descriptografar os bytes da carga.

  • Script de Teste de Regressão:

    # Simulação da rotina de descriptografia da carga PowerShell ErrTraffic ClickFix
    $header = "<# Verificação de Código: 656560395146 #>"
    $encodedPayload = @(10, 20, 30, 40)
    $key = [convert]::ToInt32("5")
    
    Write-Host "Inicializando descriptografia da carga..."
    $decrypted = foreach ($byte in $encodedPayload) {
        $byte -bxor $key
    }
    Write-Host "Descriptografia concluída."
  • Comandos de Limpeza:

    # Nenhuma alteração permanente é feita pelo script de simulação.
    # Apenas limpe o console.
    Clear-Host