ErrTrafficは、ClickFixのソーシャルエンジニアリング攻撃を実行するために設計されたトラフィック配信システム(TDS)です。従来の偽アップデート通知とは異なり、ErrTrafficは意図的にWebサイトの表示を崩し、文字化けしたテキスト、歪んだCSS、カーソルの揺れを発生させて、被害者に「端末が本当に壊れている」と思い込ませます。
この「GlitchFix」と呼ばれる視覚的混乱の手法は、ユーザーをだましてマルウェアを実行させ、システムを「修復」させるうえで非常に効果的になっています。
ユーザーがErrTrafficコードを含む侵害されたWebサイトにアクセスすると、攻撃は即座に発生します。
悪意のあるスクリプトは、被害者のOS、ブラウザの種類、位置情報を確認します。条件を満たすと、ページは直ちに歪み、読めるはずのテキストが判読不能な記号になり、CSS変換によってすべてが壊れて見えるようになり、マウスを動かすと奇妙なジッター(揺れ)効果が発生します。
数秒以内に、Chrome、Firefox、またはWindows自体からのものだと主張する偽のアップデート用モーダルが表示されます。
ビジネスモデル
セキュリティ研究者は、脅威アクター「LenAI」がロシアのフォーラムでErrTraffic v2を約800ドルで販売していることを発見しました。
研究者が衝撃を受けたのはコンバージョン率で、約60%――つまり偽の不具合表示を見た10人中6人が、実際に悪意のあるボタンをクリックしていました。
これはソーシャルエンジニアリングツールとして前例のない成功です。サブスクリプションモデルには有効期限フィールドが含まれており、運用者はキャンペーンを継続するために支払い続ける必要があります。
ブラウザ更新モード: 偽のChrome、Firefox、またはEdgeの更新を、ローカライズされたメッセージとともに表示します。
フォントモード:システムフォントが欠落しており、インストールが必要だと主張します。
ドメインの命名パターンから運用上のセキュリティ対策が見て取れます。運用者は、安価なTLD(.cfd、.art)や、身元確認が最小限で済む無料サブドメインサービス(kozow[.]com)を好んで使用しています。
ClickFixモード(v3のみ):難読化されたPowerShellコマンドをクリップボードにコピーし、ユーザーにWin+X、次にI、次にCtrl+V、次にEnterを押すよう指示して、ウィンドウを開かずに隠しマルウェアインストーラーを実行させます。
配信されるもの
ErrTrafficは従来型のマルウェアを拡散するのではなく、デジタル署名されたリモート監視・管理(RMM)ツールを配信します。Windows向けのFleetDeck、Android向けのITarian MDM、macOS向けのConnectWise Control、Linux向けのITarian ITSMです。
これらの正規ツールはセキュリティソフトで許可リストに入っているため、正当なIT運用を壊さずにブロックすることはほぼ不可能です。
インフラはオランダ、スウェーデン、ロシアに分散しています。このツールは、トークンベースのペイロード配信、クローラー向けのボット検知、特定国をブロックするジオフェンシングを使用しており、特にCIS諸国すべてを遮断していることから、ロシア語話者の脅威アクターが訴追を避けている可能性が示唆されます。
ErrTrafficは産業化されたソーシャルエンジニアリングを体現しています。60%というコンバージョン率とプロフェッショナルなインフラにより、この商品化されたツールは侵害までのパイプラインを大幅に加速させます。
組織は、ユーザー向けの意識向上トレーニングを優先し、感染を防ぐためにRMMツールの実行を制限する必要があります。
IOCs
| インジケーター | 種類 | 注記 |
|---|---|---|
errtraffic_session= |
Cookie | セッション識別子 |
/api/css.js.php |
URLパス | v2ペイロード |
/api/css.js |
URLパス | v3ペイロード(難読化) |
/api/index.php?action= |
URLパターン | v3 API呼び出し |
翻訳元: https://gbhackers.com/clickfix-attacks-2/
