ErrTrafficと呼ばれる新たなサイバー犯罪ツールにより、脅威アクターは侵害されたウェブサイト上で「偽の不具合」を生成してユーザーを誘い、ペイロードのダウンロードや悪意ある指示の実行へと導くことで、ClickFix攻撃を自動化できる。
このプラットフォームは最大60%という高いコンバージョン率をうたい、対象システムを判別して互換性のあるペイロードを配信できる。
ClickFixはソーシャルエンジニアリング手法の一つで、技術的問題の修正や本人確認といったもっともらしい口実の下、標的に自分のシステム上で危険なコマンドを実行させる。
これは2024年以降人気が高まっており、特に今年は、サイバー犯罪者と国家支援のアクターの双方が、標準的なセキュリティ制御を回避するうえで有効であるとして採用している。
ClickFixの自動化
ErrTrafficは新しいサイバー犯罪プラットフォームで、今月初めにLenAIという別名を名乗る人物によって、ロシア語圏のハッキングフォーラムで初めて宣伝された。
これは自己ホスト型のトラフィック配信システム(TDS)として機能し、ClickFixの誘導(ルアー)を展開する。顧客には一括800ドルで販売されている。
出典: Hudson Rock
このプラットフォームを分析したHudson Rockの研究者は報告で、さまざまな設定オプションとリアルタイムのキャンペーンデータへのアクセスを提供する、使いやすいパネルが用意されているとしている。
攻撃者は、被害者のトラフィックを受け入れるウェブサイトをすでに掌握しているか、正規だが侵害されたウェブサイトに悪意あるコードを注入している必要があり、そのうえでHTMLの1行を介してErrTrafficを追加する。
出典: Hudson Rock
ターゲティング条件に一致しない通常の訪問者に対してはサイトの挙動は変わらないが、ジオロケーションとOSフィンガープリンティングの条件が満たされると、ページのDOMが改変され、視覚的な不具合が表示される。
不具合には、文字化けや判読不能なテキスト、記号へのフォント置換、偽のChromeアップデート、システムフォントが見つからないという偽エラーなどが含まれる可能性がある。
これによりページが「壊れている」ように見え、ブラウザ更新のインストール、システムフォントのダウンロード、あるいはコマンドプロンプトへの何かの貼り付けといった形で、被害者に「解決策」を提示する状況が作り出される。
出典: Hudson Rock
被害者が指示に従うと、JavaScriptコードによってPowerShellコマンドがクリップボードに追加される。そのコマンドを実行すると、ペイロードのダウンロードにつながる。
出典: Hudson Rock
Hudson Rockは、ペイロードとしてWindowsではLummaおよびVidarの情報窃取型マルウェア、AndroidではCerberusトロイの木馬、macOSではAMOS(Atomic Stealer)、そしてLinuxでは詳細不明のバックドアであると明示している。
出典: Hudson Rock
ErrTrafficのクライアントは、標的とする各アーキテクチャ向けのペイロードを定義し、感染対象として適格となる国を指定できる。 ただし、CIS(独立国家共同体)諸国はハードコードで除外されており、これはErrTraffic開発者の出自を示唆している可能性がある。
認証情報窃取のライフサイクル全体を監視しているHudson Rockは、ほとんどの場合、収集されたデータはダークネット市場で販売されるか、さらなるウェブサイト侵害とErrTrafficスクリプトの再注入に悪用されると報告している。
