Nền tảng này hứa hẹn tỷ lệ chuyển đổi cao tới 60% và có thể xác định hệ thống mục tiêu để cung cấp các payload tương thích. ClickFix là một kỹ thuật tấn công kỹ nghệ xã hội, trong đó nạn nhân bị đánh lừa thực thi các lệnh nguy hiểm trên hệ thống của họ dưới những lý do trông khá thuyết phục, chẳng hạn như khắc phục sự cố kỹ thuật hoặc xác thực danh tính.

Phương pháp này ngày càng trở nên phổ biến kể từ năm 2024, đặc biệt là trong năm nay, khi cả tội phạm mạng và các tác nhân do nhà nước tài trợ đều áp dụng nó vì tính hiệu quả trong việc vượt qua các biện pháp kiểm soát bảo mật truyền thống.

ErrTraffic là một nền tảng độc hại mới được quảng bá lần đầu tiên trên các diễn đàn tin tặc nói tiếng Nga vào đầu tháng 12 bởi một người sử dụng biệt danh LenAI. Đáng lưu ý, nó hoạt động như một hệ thống định hướng lưu lượng truy cập (TDS) và triển khai các công cụ ClickFix và rao bán cho khách hàng với giá mua một lần là 800 USD.

Dịch vụ được quảng bá trên các diễn đàn tin tặc

Các nhà nghiên cứu đến từ Công ty an ninh mạng Hudson Rock sau khi phân tích nền tảng này, cho biết nó cung cấp một bảng điều khiển thân thiện với người dùng, cung cấp nhiều tùy chọn cấu hình và quyền truy cập vào dữ liệu chiến dịch theo thời gian thực.

Kẻ tấn công phải kiểm soát được một trang web chấp nhận lưu lượng truy cập của nạn nhân, hoặc đã chèn thành công mã độc vào một trang web hợp pháp bị xâm nhập, sau đó thêm ErrTraffic vào đó thông qua một dòng HTML.

Bảng điều khiển chính

Hành vi của trang web vẫn giữ nguyên đối với những người dùng truy cập thông thường không đáp ứng các tiêu chí nhắm mục tiêu, nhưng khi đủ các điều kiện về vị trí địa lý và nhận dạng hệ điều hành, DOM của trang sẽ được sửa đổi để hiển thị lỗi hình ảnh. Các vấn đề có thể bao gồm văn bản bị lỗi hoặc không đọc được, thay thế phông chữ bằng ký hiệu, cập nhật Chrome giả mạo hoặc lỗi thiếu phông chữ hệ thống.

Điều này khiến trang web trông “bị lỗi” và tạo điều kiện để cung cấp cho nạn nhân một “giải pháp” dưới dạng cài đặt bản cập nhật trình duyệt, tải xuống phông chữ hệ thống hoặc dán một cái gì đó vào cmd.

Lỗi hiển thị do ErrTraffic tạo ra

Nếu nạn nhân làm theo hướng dẫn, một lệnh PowerShell sẽ được thêm vào clipboard bằng mã JavaScript. Thực thi lệnh này sẽ dẫn đến việc tải xuống phần mềm độc hại.

Cơ chế phân phối ClickFix trong ErrTraffic

Hudson Rock nhấn mạnh các phần mềm độc hại này là Lumma và Vidar (phần mềm đánh cắp thông tin) trên Windows, trojan Cerberus trên Android, AMOS (Atomic Stealer) trên macOS và các backdoor Linux không xác định.

Xác định payload cho từng hệ điều hành

Các máy khách của ErrTraffic có thể xác định payload cho từng kiến ​​trúc mục tiêu và chỉ định các quốc gia đủ điều kiện bị lây nhiễm. Tuy nhiên, có một ngoại lệ được mã hóa cứng đối với các quốc gia thuộc CIS (Cộng đồng các quốc gia độc lập), điều này có thể cho thấy nguồn gốc của nhà phát triển ErrTraffic.

Hudson Rock, đơn vị giám sát toàn bộ vòng đời của việc đánh cắp thông tin đăng nhập, báo cáo rằng trong hầu hết các trường hợp, dữ liệu bị đánh cắp được rao bán trên các chợ đen trên mạng hoặc sử dụng để xâm nhập thêm nhiều trang web và chèn lại mã độc ErrTraffic.