【安全圈】新型網(wǎng)絡犯罪工具 ErrTraffic 實現(xiàn) ClickFix 攻擊自動化 偽造網(wǎng)站故障誘騙用戶中招

關鍵詞

網(wǎng)絡犯罪工具

最近，一款名為 ErrTraffic 的新型網(wǎng)絡犯罪工具可助力威脅組織實現(xiàn) ClickFix 攻擊的自動化操作，其原理是在已入侵的網(wǎng)站上生成 " 虛假故障 "，以此誘騙用戶下載惡意載荷或執(zhí)行惡意指令。

該工具宣稱攻擊轉(zhuǎn)化率最高可達 60%，并能識別目標設備的系統(tǒng)類型，投放與之兼容的惡意載荷。

ClickFix 是一種社會工程學攻擊手段，攻擊者會編造看似合理的借口（如修復技術故障、驗證用戶身份等），誘騙目標在自身設備上執(zhí)行危險命令。

自 2024 年起，這種攻擊手段的使用率持續(xù)攀升，尤其是在今年，因其能夠有效繞過常規(guī)安全防護措施，已被網(wǎng)絡犯罪分子和有國家背景攻擊組織廣泛采用。

ClickFix 攻擊自動化實現(xiàn)方案

據(jù)悉，ErrTraffic 是一款全新的網(wǎng)絡犯罪工具，由一名化名 LenAI 的用戶在俄語黑客論壇上首次推廣。該工具本質(zhì)上是一套自托管流量分發(fā)系統(tǒng)（TDS），專門用于部署 ClickFix 攻擊誘餌，采用一次性付費模式，售價為 800 美元。

黑客論壇上推廣的惡意服務

安全研究人員對該平臺開展了技術分析，發(fā)現(xiàn)其配備了操作便捷的控制面板，不僅提供多項配置選項，還支持查看攻擊活動的實時數(shù)據(jù)。

攻擊者需預先控制一個可接收受害者流量的網(wǎng)站——或已向某個合法網(wǎng)站植入惡意代碼，隨后通過嵌入一行 HTML 代碼，即可將 ErrTraffic 集成到目標網(wǎng)站中。

主面板

對于不符合攻擊條件的普通訪客，網(wǎng)站的顯示和功能完全正常；而一旦訪問者的地理位置與操作系統(tǒng)指紋匹配預設條件，網(wǎng)站的文檔對象模型（DOM）就會被篡改，呈現(xiàn)出各種視覺故障。

這些故障表現(xiàn)形式多樣，包括文本亂碼或無法識別、字體被替換為符號、偽造 Chrome 瀏覽器更新提示、系統(tǒng)字體缺失報錯等。

網(wǎng)站 " 故障 " 的假象會營造出問題場景，進而誘導受害者按照提示采取 " 解決措施 "，例如安裝瀏覽器更新、下載系統(tǒng)字體、在命令提示符中粘貼指定代碼等。

一旦受害者執(zhí)行相關操作，一段 PowerShell 惡意命令就會通過 JavaScript 代碼自動復制到剪貼板。受害者運行該命令后，設備便會下載并執(zhí)行惡意載荷。

ClickFix 交付機制在 ErrTraffic

安全研究員明確指出，該工具針對不同系統(tǒng)投放的惡意載荷各不相同：Windows 系統(tǒng)為 Lumma 和 Vidar 信息竊取器，安卓系統(tǒng)為 Cerberus 木馬，macOS 系統(tǒng)為 AMOS（原子竊取器），Linux 系統(tǒng)則為未明確命名的后門程序。

定義每個操作系統(tǒng)的有效負載

ErrTraffic 的使用者可針對不同架構(gòu)的目標設備自定義惡意載荷，并指定實施攻擊的目標國家和地區(qū)。值得注意的是，工具內(nèi)置了對獨聯(lián)體（CIS）國家的訪問排除機制，這一特征或可暗示 ErrTraffic 開發(fā)者的地域背景。

在絕大多數(shù)情況下，攻擊者會將竊取到的用戶數(shù)據(jù)在暗網(wǎng)市場出售，或利用這些數(shù)據(jù)進一步入侵更多網(wǎng)站，再次植入 ErrTraffic 惡意腳本。

安全圈

網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！