Новата услуга ErrTraffic овозможува ClickFix напади преку лажни проблеми со прелистувачот

Нова сајбер-криминална алатка наречена ErrTraffic им овозможува на заканувачките актери да автоматизираат ClickFix напади преку генерирање „лажни грешки“ на компромитирани веб-страници, со цел да ги намамат корисниците да преземат злонамерен товар или да следат опасни инструкции.

Платформата ветува стапки на конверзија до 60% и може да го утврди целниот систем за да испорача соодветен payload.

ClickFix е техника на социјален инженеринг при која целите се измамуваат да извршат опасни команди на своите системи под уверливи изговори, како што се решавање технички проблеми или потврда на идентитет. Таа бележи растечка популарност од 2024 година, особено оваа година, бидејќи и сајбер-криминалците и државно поддржаните актери ја усвоија поради нејзината ефикасност во заобиколување на стандардните безбедносни контроли.

Автоматизација на ClickFix

ErrTraffic е нова сајбер-криминална платформа која за првпат беше промовирана на хакерски форуми на руски јазик порано овој месец од лице со псевдоним LenAI.

Таа функционира како самостојно хостиран систем за дистрибуција на сообраќај (TDS) што распоредува ClickFix мамки и се продава на клиентите како еднократна набавка по цена од 800 американски долари.

Истражувачите од Hudson Rock, кои ја анализирале платформата, известуваат дека таа нуди лесен за користење панел што обезбедува различни опции за конфигурација и пристап до податоци за кампањите во реално време.

Напаѓачот веќе мора да контролира веб-страница што прифаќа сообраќај од жртви, или да има вметнато злонамерен код во легитимна, компромитирана веб-страница, а потоа да го додаде ErrTraffic преку HTML линија.

Однесувањето на веб-страницата останува исто за обичните посетители кои не ги исполнуваат критериумите за таргетирање, но кога ќе се исполнат условите за геолокација и отпечаток на оперативниот систем, DOM-структурата на страницата се менува за да прикаже визуелна грешка.

Проблемите може да вклучуваат оштетен или нечитлив текст, замена на фонтови со симболи, лажни ажурирања на Chrome или грешки за недостасувачки системски фонтови.

Ова прави страницата да изгледа „расипана“ и создава услови на жртвата да ѝ се понуди „решение“ во форма на инсталирање ажурирање на прелистувачот, преземање системски фонт или внесување (лепење) нешто во командниот прозорец.

Доколку жртвата ги следи инструкциите, PowerShell команда се додава во клипбордот преку JavaScript код. Извршувањето на таа команда доведува до преземање злонамерен товар (payload).

Hudson Rock јасно наведува дека payload-ите вклучуваат Lumma и Vidar инфо-крадци на Windows, Cerberus тројанец на Android, AMOS (Atomic Stealer) на macOS, како и неодредени Linux backdoor-и.

Клиентите на ErrTraffic можат да го дефинираат payload-от за секоја таргетирана архитектура и да ги наведат земјите кои се квалификуваат за инфекција. Сепак, постои хардкодирано исклучување за земјите од ЗНД (CIS – Заедница на независни држави), што може да укажува на потеклото на развивачот на ErrTraffic.

Hudson Rock, кој го следи целиот животен циклус на кражба на акредитиви, известува дека во повеќето случаи собраните податоци се продаваат на даркнет пазари или се користат за компромитирање на уште повеќе веб-страници и повторно вметнување на ErrTraffic скриптата.

Извори:

• Bleeping Computer – New ErrTraffic service enables ClickFix attacks via fake browser glitches Bleeping Computer