ErrTraffic: Dentro de um Crescente Framework de Distribuição de Malware ClickFix
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
ErrTraffic é uma estrutura maliciosa em JavaScript oferecida por meio de um modelo de malware como serviço. Ela é principalmente injetada em sites WordPress comprometidos para entregar páginas de engenharia social no estilo ClickFix e cargas de malware subsequentes. A estrutura também usa a técnica EtherHiding para descobrir infraestrutura de comando e controle através de contratos inteligentes em blockchain.
Investigação
Pesquisadores do Sekoia TDR identificaram dois clusters de atividade separados, referidos como o cluster “Analytics” e o cluster “Beer”. A investigação revelou vários caminhos de implantação, incluindo backdoors em PHP no WordPress, ataques de preenchimento de credenciais para acesso inicial e campanhas de malvertising que imitaram plataformas de IA. A análise forense também mostrou diferenças claras no estilo de codificação, uso de comandos e padrões de infraestrutura entre os dois clusters.
Mitigação
As organizações devem impor uma forte higiene de credenciais e autenticação multifator para reduzir o risco de comprometimento de administradores do WordPress. Mudanças regulares de plugins do WordPress também são essenciais, especialmente para falhas conhecidas como a CVE-2020-25213. Os defensores devem monitorar comportamentos suspeitos do PowerShell e tráfego de saída incomum para serviços RPC em blockchain ou domínios de nível superior incomuns.
Resposta
Se forem detectados indicadores do ErrTraffic, os servidores web afetados devem ser isolados imediatamente e todas as contas do WordPress devem ser revisadas para acesso administrativo não autorizado. Deve-se realizar um exame forense completo para identificar MU-plugins ocultos e arquivos PHP não autorizados. Credenciais potencialmente expostas devem ser revogadas e todas as chaves de API e segredos administrativos devem ser rotacionados.
Fluxo de Ataque
Execução de Simulação
Pré-requisito: A Verificação Pré-voo de Telemetria & Linha de Base deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa & Comandos de Ataque: Um atacante enganou com sucesso um usuário para clicar em um botão “Fix” em um site malicioso. Isso aciona um comando PowerShell projetado para baixar e descriptografar uma carga. Para evitar detecções simples baseadas em strings, o script usa descriptografia XOR. O adversário usa o cabeçalho específico ErrTraffic
<# Verificação de Código: 656560395146 #>para contornar certas verificações internas ou como um marcador para sua própria estrutura. O script usa[convert]::ToInt32para processar as chaves XOR e o-bxoroperador para descriptografar os bytes da carga. -
Script de Teste de Regressão:
# Simulação da rotina de descriptografia da carga PowerShell ErrTraffic ClickFix $header = "<# Verificação de Código: 656560395146 #>" $encodedPayload = @(10, 20, 30, 40) $key = [convert]::ToInt32("5") Write-Host "Inicializando descriptografia da carga..." $decrypted = foreach ($byte in $encodedPayload) { $byte -bxor $key } Write-Host "Descriptografia concluída." -
Comandos de Limpeza:
# Nenhuma alteração permanente é feita pelo script de simulação. # Apenas limpe o console. Clear-Host