SOC Prime Bias: Високий

19 Jun 2026 07:36 UTC
newspaper icon Блог Sekoia.io

ErrTraffic: Внутрішня сторона зростаючої платформи поширення шкідливого програмного забезпечення ClickFix

Author Photo
SOC Prime Team linkedin icon Стежити
ErrTraffic: Внутрішня сторона зростаючої платформи поширення шкідливого програмного забезпечення ClickFix
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

ErrTraffic — це шкідлива JavaScript-фреймворк, яка пропонується через модель шкідливих програм як послуга. Вона в основному впроваджується на зламані сайти WordPress для доставки соціально-інженерних сторінок у стилі ClickFix та подальших шкідливих навантажень. Фреймворк також використовує техніку EtherHiding для виявлення інфраструктури командування і управління через смарт-контракти блокчейна.

Розслідування

Дослідники з Sekoia TDR визначили два окремі кластери активності, відомі як «Аналітика» та «Пиво». Їх розслідування виявило кілька шляхів розгортання, включаючи бекдори на PHP в WordPress, атаки з перебором даних для початкового доступу та кампанії malvertising, які імітували платформи AI. Судово-технічний аналіз також виявив чіткі відмінності у стилі кодування, використанні команд та шаблонах інфраструктури між цими двома кластерами.

Пом’якшення

Організації повинні забезпечити сувору гігієну облікових даних та багатофакторну аутентифікацію, щоб знизити ризик компрометації адміністраторів WordPress. Регулярне встановлення патчів для плагінів WordPress також є важливим, особливо для відомих вразливостей, таких як CVE-2020-25213. Захисники повинні моніторити підозрілу поведінку PowerShell і незвичайний вихідний трафік до сервісів RPC блокчейна або рідкісних доменів верхнього рівня.

Відповідь

Якщо були виявлені індикатори ErrTraffic, уражені веб-сервери слід негайно ізолювати, а всі облікові записи WordPress перевірити на наявність неавторизованого доступу адміністраторів. Повинна бути проведена повна судово-технічна перевірка для виявлення прихованих MU-плагінів та неавторизованих файлів PHP. Потенційно скомпрометовані облікові дані повинні бути анульовані, а всі ключі API та адміністративні секрети обернені.

graph TB %% Визначення класів classDef reconnaissance fill:#f9f,stroke:#333,stroke-width:2px classDef execution fill:#ff9,stroke:#333,stroke-width:2px classDef persistence fill:#9f9,stroke:#333,stroke-width:2px classDef command_control fill:#9cf,stroke:#333,stroke-width:2px classDef delivery fill:#f96,stroke:#333,stroke-width:2px %% Розвідка та початковий доступ recon_cred[“<b>Техніка</b> – <b>T1589.001 Збір інформації про ідентичність жертви: Облікові дані</b><br/>Опис: Використання викрадених облікових даних адміністратора<br/>для доступу до сайтів WordPress.”] class recon_cred reconnaissance recon_drive_by[“<b>Техніка</b> – <b>T1189 Компрометація через перегляд</b><br/>Опис: Використання шкідливої реклами (malvertising) для перенаправлення користувачів<br/>на вебсайти, що імітують AI-платформи на кшталт ChatGPT.”] class recon_drive_by reconnaissance %% Етап виконання exec_clickfix[“<b>Техніка</b> – <b>T1204.004 Виконання користувачем: Шкідливе копіювання та вставлення</b><br/>Опис: Використання техніки ClickFix із фальшивими повідомленнями про помилки<br/>такими як BSOD або reCAPTCHA для змушення користувачів виконати команди PowerShell.”] class exec_clickfix execution %% Етап закріплення та C2 pers_webshell[“<b>Техніка</b> – <b>T1505.003 Серверний програмний компонент: Web Shell</b><br/>Опис: Розгортання PHP-бекдорів, таких як<br/>session-manager.php MU-Plugin або Responsive Webshell.”] class pers_webshell persistence pers_valid_acc[“<b>Техніка</b> – <b>T1078 Дійсні облікові записи</b><br/>Опис: Підтримання доступу через скомпрометовану<br/>адмін-панель WordPress із використанням легітимних облікових даних.”] class pers_valid_acc persistence c2_etherhiding[“<b>Техніка</b> – <b>EtherHiding</b><br/>Опис: Забезпечення зв’язку з C2-інфраструктурою<br/>через блокчейн-смартконтракти як Dead Drop Resolver.”] class c2_etherhiding command_control %% Доставка навантаження та доступ до облікових даних del_ingress[“<b>Техніка</b> – <b>T1105 Передача інструментів через вхідне з’єднання</b><br/>Опис: Використання PowerShell для завантаження та розпакування<br/>шкідливих бінарних файлів за допомогою 7z.”] class del_ingress delivery acc_cred_access[“<b>Техніка</b> – <b>T1539 Доступ до облікових даних</b><br/>Опис: Сімейства шкідливого ПЗ викрадають облікові дані,<br/>веб-cookie сесій та конфіденційні дані WooCommerce.”] class acc_cred_access delivery malware_stealer[“<b>Шкідливе ПЗ</b> – <b>Vidar або Stealc</b><br/>Опис: Інфокради, що використовуються для ексфільтрації даних<br/>на домени під контролем зловмисників.”] class malware_stealer delivery %% Потік з’єднань recon_cred –>|призводить_до| exec_clickfix recon_drive_by –>|призводить_до| exec_clickfix exec_clickfix –>|активує| pers_webshell exec_clickfix –>|активує| pers_valid_acc pers_webshell –>|забезпечує| c2_etherhiding pers_valid_acc –>|забезпечує| c2_etherhiding c2_etherhiding –>|керує| del_ingress del_ingress –>|розгортає| malware_stealer malware_stealer –>|виконує| acc_cred_access

Потік атаки

Виконання симуляції

Передумова: Перевірка телеметрії та базової лінії повинна бути пройдена.

Пояснення: Цей розділ детально описує точне виконання техніки супротивника (TTP), призначеної для запуску правила детекції. Команди та наратив ПОВИННІ безпосередньо відображати виявлені TTP та націлені на генерування точної телеметрії, очікуваної логікою детекції. Абстрактні або невідповідні приклади приведуть до неправильного діагностування.

  • Наратив атаки та команди: Зловмисник успішно обдурив користувача натиснути на кнопку “Виправити” на шкідливому веб-сайті. Це запускає команду PowerShell, призначену для завантаження та дешифрування підвантаження. Щоб уникнути простого виявлення на основі тексту, сценарій використовує дешифрування з XOR. Нападник використовує специфічний заголовок ErrTraffic <# Перевірка коду: 656560395146 #> для обходу певних внутрішніх перевірок або як маркер для їх власного фреймворку. Сценарій використовує [convert]::ToInt32 для обробки ключів XOR та оператора -bxor для дешифрування байтів підвантаження.

  • Сценарій регресійного тесту:

    # Симуляція процедури дешифрування підвантаження PowerShell ErrTraffic ClickFix
$header = "<# Перевірка коду: 656560395146 #>"
$encodedPayload = @(10, 20, 30, 40)
$key = [convert]::ToInt32("5")

Write-Host "Ініціалізація дешифрування підвантаження..."
$decrypted = foreach ($byte in $encodedPayload) {
    $byte -bxor $key
}
Write-Host "Дешифрування завершено."

  • Команди для очищення:

    # Постійні зміни не вносяться сценарієм симуляції.
# Просто очищаємо консоль.
Clear-Host

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно