Un nouvel outil de cybercriminalité appelé ErrTraffic permet aux auteurs de menaces d’automatiser les attaques ClickFix en générant de « faux problèmes » sur des sites Web compromis pour inciter les utilisateurs à télécharger des charges utiles ou à suivre des instructions malveillantes.
La plate-forme promet des taux de conversion aussi élevés que 60% et peut déterminer le système cible pour fournir des charges utiles compatibles.
ClickFix est une technique d’ingénierie sociale où les cibles sont amenées à exécuter des commandes dangereuses sur leurs systèmes sous des prétextes crédibles, tels que la résolution de problèmes techniques ou la validation de leur identité.
Il a gagné en popularité depuis 2024, en particulier cette année, car les cybercriminels et les acteurs parrainés par l’État l’ont adopté pour son efficacité à contourner les contrôles de sécurité standard.
Automatisation de ClickFix
ErrTraffic est une nouvelle plate-forme de cybercriminalité promue pour la première fois sur des forums de piratage russophones plus tôt ce mois-ci par une personne utilisant l’alias LenAI.
Il fonctionne comme un système de distribution de trafic (TDS) auto-hébergé qui déploie des leurres ClickFix et est vendu aux clients pour un achat unique de 800$.
Les chercheurs de Hudson Rock qui ont analysé la plate-forme rapportent qu’elle offre un panneau convivial qui offre diverses options de configuration et un accès aux données de campagne en temps réel.
L’attaquant doit déjà contrôler un site Web qui accepte le trafic des victimes ou avoir injecté du code malveillant dans un site Web légitime et compromis, puis y ajouter ErrTraffic via une ligne HTML.
Le comportement du site reste le même pour les visiteurs réguliers qui ne correspondent pas aux critères de ciblage, mais lorsque les conditions de géolocalisation et d’empreinte du système d’exploitation sont remplies, le DOM de la page est modifié pour afficher un problème visuel.
Les problèmes peuvent inclure du texte corrompu ou illisible, le remplacement de polices par des symboles, de fausses mises à jour de Chrome ou des erreurs de police système manquantes.
Cela fait apparaître la page « cassée » et crée la condition pour fournir à la victime une « solution » sous la forme d’installer une mise à jour du navigateur, de télécharger une police système ou de coller quelque chose dans l’invite de commande.
Si la victime suit les instructions, une commande PowerShell est ajoutée au presse-papiers au moyen de code JavaScript. L’exécution de la commande entraîne le téléchargement d’une charge utile.
Hudson Rock spécifie explicitement que les charges utiles sont des voleurs d’informations Lumma et Vidar sous Windows, un cheval de Troie Cerberus sur Android, AMOS (Voleur atomique) sur macOS et des portes dérobées Linux non spécifiées.
Les clients ErrTraffic peuvent définir la charge utile pour chaque architecture ciblée et spécifier les pays éligibles à l’infection. Cependant, il existe une exclusion codée en dur pour les pays de la CEI( Communauté des États Indépendants), ce qui peut indiquer l’origine du développeur d’ErrTraffic.
Hudson Rock, qui surveille l’ensemble du cycle de vie du vol d’informations d’identification, rapporte que, dans la plupart des cas, les données récoltées sont vendues sur les marchés du darknet ou exploitées pour compromettre davantage de sites Web et injecter à nouveau le script ErrTraffic.