ErrTraffic, ClickFix sosyal mühendislik saldırılarını desteklemek için tasarlanmış bir Trafik Dağıtım Sistemidir (TDS). Geleneksel sahte güncelleme istemlerinden farklı olarak ErrTraffic, kurbanları cihazlarının gerçekten bozuk olduğuna ikna etmek için web sitesi görsellerini kasıtlı olarak bozarak bozuk metinler, bozuk CSS ve imleç titremesi yaratıyor.
“GlitchFix” adı verilen görsel kaos tekniği, kullanıcıları kötü amaçlı yazılım çalıştırarak sistemlerini “düzeltmeye” kandırmada oldukça etkili hale geldi.
Kullanıcılar ErrTraffic kodu içeren, güvenliği ihlal edilmiş bir web sitesine girdiğinde saldırı anında gerçekleşir.
Kötü amaçlı komut dosyası, kurbanın işletim sistemini, tarayıcı türünü ve konumunu kontrol eder. Kontroller başarılı olursa, sayfa okunabilir metni anında bozar, okunmaz sembollere dönüşür, CSS dönüşümleri her şeyin bozuk görünmesine neden olur ve farenizi hareket ettirmek garip titreşim efektlerine neden olur.
Birkaç saniye içinde Chrome, Firefox veya Windows’un kendisinden geldiğini iddia eden sahte bir güncelleme modeli ortaya çıkıyor.
İş Modeli
Güvenlik araştırmacıları, tehdit aktörü “LenAI”nin ErrTraffic v2’yi Rus forumlarında yaklaşık 800 dolara sattığını keşfetti.
Araştırmacıları şok eden şey dönüşüm oranıydı: Yaklaşık %60, yani sahte aksaklığı gören 10 kişiden 6’sı gerçekten kötü niyetli düğmeye tıkladı.
Bu, sosyal mühendislik araçları için benzeri görülmemiş bir başarıdır. Abonelik modeli bir son kullanma alanı içerir; bu, operatörlerin kampanyalarının yayınlanmaya devam etmesi için ödeme yapması gerektiği anlamına gelir.
Tarayıcı Güncelleme Modu: Yerelleştirilmiş mesajlarla sahte Chrome, Firefox veya Edge güncellemeleri.
Yazı Tipi Modu: Bir sistem yazı tipinin eksik olduğunu ve yüklenmesi gerektiğini iddia eder.
Alan adı adlandırma kalıpları operasyonel güvenlik uygulamalarını ortaya koyuyor: operatörler ucuz TLD’leri (.cfd, .art) ve ücretsiz alt alan hizmetlerini (kozow) tercih ediyor[.]com) minimum düzeyde kimlik doğrulaması gerektirir.
ClickFix Modu (yalnızca v3): Gizlenmiş PowerShell komutlarını panoya kopyalar ve kullanıcılara Win+X’e, ardından I’e, sonra Ctrl+V’ye, ardından da bir pencere açmadan gizli kötü amaçlı yazılım yükleyicilerini çalıştırmaları talimatını verir.
Neler Teslim Edilir?
ErrTraffic geleneksel kötü amaçlı yazılımları yaymaz, dijital olarak imzalanmış Uzaktan İzleme ve Yönetim (RMM) araçları sunar: Windows için FleetDeck, Android için ITarian MDM, macOS için ConnectWise Control ve Linux için ITarian ITSM.
Bu meşru araçlar, güvenlik yazılımı tarafından izin verilenler listesine eklenmiştir ve meşru BT operasyonlarını bozmadan bunların engellenmesi neredeyse imkansızdır.
Altyapı Hollanda, İsveç ve Rusya’ya yayılmıştır. Araç, belirli ülkeleri, özellikle de tüm BDT ülkelerini engellemek için jeton tabanlı yük dağıtımını, tarayıcılar için bot tespitini ve coğrafi sınırlamayı kullanıyor; bu da Rusça konuşan tehdit aktörlerinin kovuşturmadan kaçındığını gösteriyor.
ErrTraffic endüstrileşmiş sosyal mühendisliği temsil eder. %60 dönüşüm oranları ve profesyonel altyapısıyla bu metalaştırılmış araç, uzlaşma hattını önemli ölçüde hızlandırır.
Kuruluşlar, kullanıcı farkındalığı eğitimine öncelik vermeli ve bulaşmayı önlemek için RMM aracının yürütülmesini kısıtlamalıdır.
IOC’ler
| Gösterge | Tip | Notlar |
|---|---|---|
errtraffic_session= | Çerez | Oturum tanımlayıcı |
/api/css.js.php | URL yolu | v2 yükü |
/api/css.js | URL yolu | v3 yükü (karışıklaştırılmış) |
/api/index.php?action= | URL modeli | v3 API çağrıları |
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.