ErrTraffic MaaS
A Sekoia kutatása szerint az ErrTraffic egy gyorsan terjedő malware-terjesztő keretrendszer, amely a jelenleg rendkívül népszerű ClickFix technikára épül. A platform nem egyetlen kártevőt szolgál ki, hanem malware delivery service-ként működik, kompromittált weboldalakon, rosszindulatú hirdetéseken és SEO-manipulált oldalakon keresztül tereli a felhasználókat hamis CAPTCHA- vagy böngészőhiba-oldalakra, ahol a látogatót arra veszik rá, hogy egy PowerShell vagy CMD parancsot másoljon a vágólapra és futtasson saját gépén.
A Sekoia több mint 5300 kompromittált weboldalt azonosított, amelyek az ErrTraffic infrastruktúrájához kapcsolódtak. A kampányokban számos ismert kártevő jelent meg, köztük a Lumma Stealer, StealC, NetSupport RAT, SectopRAT, XWorm és különböző távoli hozzáférési eszközök. Az ErrTraffic szerepe nem a végső malware fejlesztése, hanem a fertőzési lánc első szakaszának biztosítása és a forgalom átirányítása a megrendelők számára.
A rendszer ellenőrzi a látogató földrajzi helyét, böngészőjét, operációs rendszerét és egyéb jellemzőit, majd csak a kívánt célpontoknak jeleníti meg a fertőzési oldalt. Ez csökkenti a biztonsági kutatók és automatizált elemző rendszerek általi észlelés esélyét. A kampányok gyakran Cloudflare hibákat, CAPTCHA-ellenőrzéseket vagy böngészőfrissítési üzeneteket imitálnak, hogy legitimnek tűnjenek.
A hagyományos exploit-kit modellel szemben itt nincs szükség sérülékenység kihasználására, a felhasználó maga indítja el a fertőzést. Emiatt a támadók számára olcsóbb, a védekezők számára pedig nehezebben blokkolható módszerről van szó. A Sekoia értékelése szerint az ErrTraffic mára a Lumma Stealer és más információlopó kampányok egyik legfontosabb terjesztési infrastruktúrájává vált, és jelentős szerepet játszik a ClickFix-alapú fertőzések globális terjedésében.
