Uma infraestrutura de cibercrime batizada com o nome “Errtraffic” consolidou a técnica de engenharia social “clickfix” como um método de distribuição de malware em larga escala. A estratégia consiste na manipulação de usuários para a execução manual de comandos maliciosos em seus próprios dispositivos. Pesquisadores da empresa de segurança Hudson Rock identificaram a operação e publicaram um relatório detalhando como o sistema utiliza páginas de destino que simulam erros técnicos em navegadores como Google Chrome e Microsoft Edge, ou falhas em serviços como Google Meet e Zoom. Ao tentar resolver o suposto problema, a vítima copia um código para a área de transferência e o executa via terminal de comando, contornando proteções automatizadas de sistemas operacionais.
Funcionamento técnico e vetores de infecção
O processo de infecção ocorre em etapas. Inicialmente, o usuário acessa um site legítimo que foi comprometido ou é atraído por anúncios maliciosos para uma página de erro falsa. O sistema Errtraffic gera uma sobreposição visual que instrui o usuário a pressionar combinações de teclas como “Windows + R”, colar um comando (Ctrl + V) e pressionar “Enter”. Este comando inicia o PowerShell para baixar scripts em VBScript ou arquivos JavaScript. A técnica é eficaz para ignorar filtros de e-mail e sistemas de detecção de endpoint (EDR). Como a execução do código parte de uma ação direta do usuário, o software de segurança identifica o processo como uma atividade legítima.
As atividades relacionadas a esta infraestrutura registram volume desde o primeiro semestre de 2024. Monitoramentos realizados por divisões de inteligência, como a Microsoft Threat Intelligence, apontam que entre março e junho de 2024 houve um aumento nas campanhas de e-mail enviadas pelo grupo rastreado como Storm-1607. Os ataques ocorrem de forma contínua em escala global, atingindo redes corporativas e usuários domésticos diariamente através de sites comprometidos e malvertising.
o texto padrão por símbolos ilegíveis, parecendo “destruir” o site. Com
isso, o atacante cria um problema imediato. O botão “Instalar atualização”
ou “Baixar fonte” é apresentado como solução
A finalidade do Errtraffic é a entrega de malwares de acesso remoto e infostealers, como o Vidar, StealC e Lumma Stealer, para o roubo de credenciais e dados financeiros. Dados da Hudson Rock indicam que a escala dessa operação reflete uma “industrialização” do cibercrime, onde kits prontos são fornecidos a diversos grupos de ameaças. A infraestrutura permite a automação da entrega de cargas maliciosas, o que explica a disseminação por milhares de domínios em um curto período.
Correlação das ações na campanha Errtraffic com a matriz Mitre ATT&CK e respectivas estratégias de defesa para SIEM:
| Tática MITRE ATT&CK Utilizada | Técnica / Procedimento | Regra de Detecção (SIEM) / Ação de Mitigação |
| Execução | User Execution: Malicious Copy and Paste (T1204.004) | Monitorar processos powershell.exe ou cmd.exe iniciados com comandos que contenham IEX, base64 ou Invoke-WebRequest após atividade no navegador. |
| Execução | Command and Scripting Interpreter: PowerShell (T1059.001) | Alerta para comandos PowerShell com -ExecutionPolicy Bypass ou -WindowStyle Hidden conectando-se a IPs externos não mapeados. |
| Defesa Evasiva | Obfuscated Files or Information (T1027) | Detectar a criação de arquivos .vbs ou .js em diretórios temporários (AppData\Local\Temp) com nomes aleatórios ou alta entropia. |
| Acesso Inicial | Phishing: Malicious Service (T1566.003) | Bloqueio de tráfego para domínios que simulam infraestrutura de suporte (ex: fix-browser.org, google-meet.us). |
| Comando e Controle | Application Layer Protocol (T1071.001) | Monitoramento de requisições HTTP para endpoints conhecidos da infraestrutura ERRTRAFFIC (ex: /api/v1/traffic). |
Indicadores de Comprometimento (IoCs):
- Domínios:
google-meet[.]us,zoom-error[.]com,browser-fix[.]org,update-chrome[.]com. - Processos: Execuções de PowerShell originadas diretamente de
chrome.exeoumsedge.exevia comando de usuário.
FONTE: CISO ADVISOR
