SOC Prime Bias: Високий

19 Jun 2026 07:36 UTC

ErrTraffic: Внутрішня сторона зростаючої платформи поширення шкідливого програмного забезпечення ClickFix

Author Photo
SOC Prime Team linkedin icon Стежити
ErrTraffic: Внутрішня сторона зростаючої платформи поширення шкідливого програмного забезпечення ClickFix
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

ErrTraffic — це шкідлива JavaScript-фреймворк, яка пропонується через модель шкідливих програм як послуга. Вона в основному впроваджується на зламані сайти WordPress для доставки соціально-інженерних сторінок у стилі ClickFix та подальших шкідливих навантажень. Фреймворк також використовує техніку EtherHiding для виявлення інфраструктури командування і управління через смарт-контракти блокчейна.

Розслідування

Дослідники з Sekoia TDR визначили два окремі кластери активності, відомі як «Аналітика» та «Пиво». Їх розслідування виявило кілька шляхів розгортання, включаючи бекдори на PHP в WordPress, атаки з перебором даних для початкового доступу та кампанії malvertising, які імітували платформи AI. Судово-технічний аналіз також виявив чіткі відмінності у стилі кодування, використанні команд та шаблонах інфраструктури між цими двома кластерами.

Пом’якшення

Організації повинні забезпечити сувору гігієну облікових даних та багатофакторну аутентифікацію, щоб знизити ризик компрометації адміністраторів WordPress. Регулярне встановлення патчів для плагінів WordPress також є важливим, особливо для відомих вразливостей, таких як CVE-2020-25213. Захисники повинні моніторити підозрілу поведінку PowerShell і незвичайний вихідний трафік до сервісів RPC блокчейна або рідкісних доменів верхнього рівня.

Відповідь

Якщо були виявлені індикатори ErrTraffic, уражені веб-сервери слід негайно ізолювати, а всі облікові записи WordPress перевірити на наявність неавторизованого доступу адміністраторів. Повинна бути проведена повна судово-технічна перевірка для виявлення прихованих MU-плагінів та неавторизованих файлів PHP. Потенційно скомпрометовані облікові дані повинні бути анульовані, а всі ключі API та адміністративні секрети обернені.

Потік атаки

Виконання симуляції

Передумова: Перевірка телеметрії та базової лінії повинна бути пройдена.

Пояснення: Цей розділ детально описує точне виконання техніки супротивника (TTP), призначеної для запуску правила детекції. Команди та наратив ПОВИННІ безпосередньо відображати виявлені TTP та націлені на генерування точної телеметрії, очікуваної логікою детекції. Абстрактні або невідповідні приклади приведуть до неправильного діагностування.

  • Наратив атаки та команди: Зловмисник успішно обдурив користувача натиснути на кнопку “Виправити” на шкідливому веб-сайті. Це запускає команду PowerShell, призначену для завантаження та дешифрування підвантаження. Щоб уникнути простого виявлення на основі тексту, сценарій використовує дешифрування з XOR. Нападник використовує специфічний заголовок ErrTraffic <# Перевірка коду: 656560395146 #> для обходу певних внутрішніх перевірок або як маркер для їх власного фреймворку. Сценарій використовує [convert]::ToInt32 для обробки ключів XOR та оператора -bxor для дешифрування байтів підвантаження.

  • Сценарій регресійного тесту:

    # Симуляція процедури дешифрування підвантаження PowerShell ErrTraffic ClickFix
    $header = "<# Перевірка коду: 656560395146 #>"
    $encodedPayload = @(10, 20, 30, 40)
    $key = [convert]::ToInt32("5")
    
    Write-Host "Ініціалізація дешифрування підвантаження..."
    $decrypted = foreach ($byte in $encodedPayload) {
        $byte -bxor $key
    }
    Write-Host "Дешифрування завершено."
  • Команди для очищення:

    # Постійні зміни не вносяться сценарієм симуляції.
    # Просто очищаємо консоль.
    Clear-Host