北京
最近,一款名為ErrTraffic的新型網(wǎng)絡(luò)犯罪工具可助力威脅組織實(shí)現(xiàn)ClickFix攻擊的自動(dòng)化操作,其原理是在已入侵的網(wǎng)站上生成“虛假故障”,以此誘騙用戶下載惡意載荷或執(zhí)行惡意指令。
該工具宣稱(chēng)攻擊轉(zhuǎn)化率最高可達(dá)60%,并能識(shí)別目標(biāo)設(shè)備的系統(tǒng)類(lèi)型,投放與之兼容的惡意載荷。
ClickFix是一種社會(huì)工程學(xué)攻擊手段,攻擊者會(huì)編造看似合理的借口(如修復(fù)技術(shù)故障、驗(yàn)證用戶身份等),誘騙目標(biāo)在自身設(shè)備上執(zhí)行危險(xiǎn)命令。
自2024年起,這種攻擊手段的使用率持續(xù)攀升,尤其是在今年,因其能夠有效繞過(guò)常規(guī)安全防護(hù)措施,已被網(wǎng)絡(luò)犯罪分子和有國(guó)家背景攻擊組織廣泛采用。
ClickFix攻擊自動(dòng)化實(shí)現(xiàn)方案
據(jù)悉,ErrTraffic是一款全新的網(wǎng)絡(luò)犯罪工具,由一名化名LenAI的用戶在俄語(yǔ)黑客論壇上首次推廣。該工具本質(zhì)上是一套自托管流量分發(fā)系統(tǒng)(TDS),專(zhuān)門(mén)用于部署ClickFix攻擊誘餌,采用一次性付費(fèi)模式,售價(jià)為800美元。
黑客論壇上推廣的惡意服務(wù)
安全研究人員對(duì)該平臺(tái)開(kāi)展了技術(shù)分析,發(fā)現(xiàn)其配備了操作便捷的控制面板,不僅提供多項(xiàng)配置選項(xiàng),還支持查看攻擊活動(dòng)的實(shí)時(shí)數(shù)據(jù)。
攻擊者需預(yù)先控制一個(gè)可接收受害者流量的網(wǎng)站——或已向某個(gè)合法網(wǎng)站植入惡意代碼,隨后通過(guò)嵌入一行HTML代碼,即可將ErrTraffic集成到目標(biāo)網(wǎng)站中。
主面板
對(duì)于不符合攻擊條件的普通訪客,網(wǎng)站的顯示和功能完全正常;而一旦訪問(wèn)者的地理位置與操作系統(tǒng)指紋匹配預(yù)設(shè)條件,網(wǎng)站的文檔對(duì)象模型(DOM)就會(huì)被篡改,呈現(xiàn)出各種視覺(jué)故障。
這些故障表現(xiàn)形式多樣,包括文本亂碼或無(wú)法識(shí)別、字體被替換為符號(hào)、偽造Chrome瀏覽器更新提示、系統(tǒng)字體缺失報(bào)錯(cuò)等。
網(wǎng)站“故障”的假象會(huì)營(yíng)造出問(wèn)題場(chǎng)景,進(jìn)而誘導(dǎo)受害者按照提示采取“解決措施”,例如安裝瀏覽器更新、下載系統(tǒng)字體、在命令提示符中粘貼指定代碼等。
一旦受害者執(zhí)行相關(guān)操作,一段PowerShell惡意命令就會(huì)通過(guò)JavaScript代碼自動(dòng)復(fù)制到剪貼板。受害者運(yùn)行該命令后,設(shè)備便會(huì)下載并執(zhí)行惡意載荷。
ClickFix 交付機(jī)制在 ErrTraffic
安全研究員明確指出,該工具針對(duì)不同系統(tǒng)投放的惡意載荷各不相同:Windows系統(tǒng)為L(zhǎng)umma和Vidar信息竊取器,安卓系統(tǒng)為Cerberus木馬,macOS系統(tǒng)為AMOS(原子竊取器),Linux系統(tǒng)則為未明確命名的后門(mén)程序。
定義每個(gè)操作系統(tǒng)的有效負(fù)載
ErrTraffic的使用者可針對(duì)不同架構(gòu)的目標(biāo)設(shè)備自定義惡意載荷,并指定實(shí)施攻擊的目標(biāo)國(guó)家和地區(qū)。值得注意的是,工具內(nèi)置了對(duì)獨(dú)聯(lián)體(CIS)國(guó)家的訪問(wèn)排除機(jī)制,這一特征或可暗示ErrTraffic開(kāi)發(fā)者的地域背景。
在絕大多數(shù)情況下,攻擊者會(huì)將竊取到的用戶數(shù)據(jù)在暗網(wǎng)市場(chǎng)出售,或利用這些數(shù)據(jù)進(jìn)一步入侵更多網(wǎng)站,再次植入ErrTraffic惡意腳本。
參考及來(lái)源:https://www.bleepingcomputer.com/news/security/new-errtraffic-service-enables-clickfix-attacks-via-fake-browser-glitches/
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
