Selon Hudson Rock, une nouvelle suite criminelle baptisée ErrTraffic v2, promue sur des forums cybercriminels russophones, industrialise les leurres « ClickFix » afin d’amener les utilisateurs à exécuter eux-mêmes des scripts malveillants via Win+R/PowerShell, contournant ainsi les protections des navigateurs et d’EDR.

  • ⚙️ Points saillants: outil vendu 800 $, taux de conversion jusqu’à 58,8%, usage de « faux glitches » (artefacts visuels/texte corrompu) pour créer l’urgence, ciblage multi-OS (Windows, macOS, Android, Linux) et exclusion CIS (BY, KZ, RU, etc.). Le tableau de bord montre 34 vues, 20 « downloads » et 58,8% de conversion sur une campagne test.

  • 🧩 Mécanique d’attaque: ErrTraffic fonctionne comme un TDS avec un panneau PHP/LAMP auto-hébergé. L’intégration sur des sites compromis se fait via une unique balise script pointant vers un fichier .js.php (JavaScript servi par PHP, permettant logique côté serveur telle que le filtrage IP). L’overlay « glitch » est déclenché sous conditions sans altérer les fichiers du site, maximisant la furtivité et la persistance. Le service fingerprinte l’OS pour livrer des charges adaptées et applique une géofencing excluant les pays de la CEI.

  • 🎭 Leurre « ClickFix »: l’outil manipule le DOM (CSS/JS) pour afficher du texte illisible/Zalgo, des « fausses mises à jour Chrome » ou un mode « No system font », poussant l’utilisateur à cliquer sur « Fix » puis à copier-coller une commande système. Cette approche exploite l’« air gap » navigateur/OS: le navigateur voit une action légitime (copie), l’EDR voit l’ouverture de PowerShell (légitime), mais l’exécution se fait avec les privilèges utilisateur, hors des scans de fichiers statiques.

  • 📦 Charges livrées: selon l’OS, des infostealers Windows (ex. Lumma, Vidar) en SFX, des Trojans Android (ex. Cerberus) déguisés en mises à jour de navigateur (ex. opera.apk), et sur macOS probablement Atomic Stealer (AMOS). Le mécanisme « paste-and-run » illustre une commande PowerShell téléchargeant et lançant un exécutable depuis le panneau malveillant.

  • 🔁 Boucle d’infection: Hudson Rock décrit un cycle « Infostealer-to-APT » où les identifiants volés (dont accès CMS: WordPress wp-admin, cPanel, Joomla) servent à réinjecter le script ErrTraffic dans de nouveaux sites, élargissant la distribution. Les logs volés sont revendus, alimentant les IABs puis des groupes de ransomware ou étatiques, un cycle accéléré par des conversions ~60%. L’article constitue une analyse de menace détaillant le produit, sa mécanique et son rôle dans l’écosystème criminel.

IOCs (extraits/indicateurs fournis dans l’article, à titre d’exemple):

  • Pattern d’injection:
  • Exemple de commande PowerShell « paste-and-run » téléchargeant payload.exe depuis un domaine malveillant
  • Familles de charges mentionnées: Lumma, Vidar (Windows), Cerberus (Android), AMOS (macOS)

TTPs observés:

  • Ingénierie sociale « ClickFix » (guidage utilisateur vers Win+R/PowerShell, copier-coller de commande)
  • Manipulation du DOM via CSS/JS (« faux glitches », Zalgo text, fausses mises à jour/nouvelles polices)
  • TDS avec fingerprinting OS et géofencing (exclusion CIS)
  • Injection script .js.php pour logique côté serveur et livraison furtive
  • Téléchargement/Exécution via PowerShell (Invoke-WebRequest, Start-Process)
  • Persistance opérationnelle par compromission de CMS et réinjection du script sur de nouveaux sites

🧠 TTPs et IOCs détectés

TTP

[‘T1566.002 - Spearphishing Link’, ‘T1203 - Exploitation for Client Execution’, ‘T1204.002 - User Execution: Malicious File’, ‘T1059.001 - Command and Scripting Interpreter: PowerShell’, ‘T1071.001 - Application Layer Protocol: Web Protocols’, ‘T1190 - Exploit Public-Facing Application’, ‘T1027 - Obfuscated Files or Information’, ‘T1105 - Ingress Tool Transfer’, ‘T1218.011 - Signed Binary Proxy Execution: PowerShell’, ‘T1132 - Data Encoding’, ‘T1568.002 - Dynamic Resolution: Domain Generation Algorithms’, ‘T1078 - Valid Accounts’, ‘T1071.004 - Application Layer Protocol: DNS’, ‘T1583.001 - Acquire Infrastructure: Domains’, ‘T1584.002 - Compromise Infrastructure: Domains’, ‘T1584.005 - Compromise Infrastructure: Web Services’, ‘T1584.006 - Compromise Infrastructure: Web Hosting’, ‘T1584.007 - Compromise Infrastructure: DNS’, ‘T1584.008 - Compromise Infrastructure: SSL Certificates’, ‘T1584.009 - Compromise Infrastructure: Email Accounts’]

IOC

[’’, ‘Lumma’, ‘Vidar’, ‘Cerberus’, ‘AMOS’]

🔗 Source originale : https://www.infostealers.com/article/the-industrialization-of-clickfix-inside-errtraffic/