Новый этап эволюции ClickFix: фреймворк ErrTraffic объединяет EtherHiding, MaaS и атаки на WordPress для массового распространения стилеров

information security

Исследователи из Sekoia TDR задокументировали масштабную экосистему распространения вредоносного ПО, построенную вокруг фреймворка ErrTraffic. Этот JavaScript-инструмент, обнаруженный ещё в конце 2025 года, объединяет метод социальной инженерии ClickFix с блокчейн-техникой EtherHiding и продаётся по модели Malware-as-a-Service (MaaS - вредоносное ПО как услуга) на русскоязычных форумах.

Описание

Специалисты провели детальный анализ инфраструктуры ErrTraffic и выделили два ключевых операционных кластера, названных "Analytics" и "Beer". Каждый из них использует собственную версию фреймворка. Основной вектор распространения - компрометация легитимных сайтов на WordPress, куда злоумышленники внедряют скрипт, загружающий подделку Cloudflare Turnstile или "синий экран смерти" BSOD. Жертве предлагается скопировать и выполнить PowerShell-команду, якобы для подтверждения личности. На деле команда запускает скачивание и установку стилеров, например Vidar, Stealc, Remus, или загрузчиков вроде HijackLoader и SmokeLoader.

Ключевая особенность ErrTraffic - применение EtherHiding. Вредоносный скрипт, внедрённый на скомпрометированный сайт, запрашивает адрес панели управления через смарт-контракт в блокчейне Polygon. Это позволяет операторам менять серверы командного управления без повторного развёртывания кода на тысячах сайтов. Отдельным клиентам MaaS выдаётся уникальный смарт-контракт, привязанный к эксклюзивному C2-домену и панели администрирования. Такая архитектура снижает вероятность обнаружения, поскольку разные аффилиаты работают изолированно.

Оператор ErrTraffic, скрывающийся под ником LenAI, рекламирует услугу на форуме Exploit.IN и в Telegram. Стоимость месячной подписки за полгода выросла с 300 до 380 долларов, цена исходного кода поднялась с 1500 до 4500 долларов с пожизненными обновлениями. В мае 2026 года в теме форума отметились десять русскоязычных и один англоязычный участник, причём несколько человек оставили положительные отзывы. Один из них, mtd, управляет сервисом Pay-Per-Install (PPI - оплата за каждую установку вредоносного ПО) и, судя по всему, использует ErrTraffic для доставки своих нагрузок по геотаргетингу.

Предоставленный анализ компрометации сайтов показал, что доступ к WordPress-серверам в большинстве случаев получали через украденные учётные данные администраторов, которые собирали инфостилеры. Злоумышленники применяли многослойные бэкдоры - PHP-файлы, маскирующиеся под легитимные плагины или скрипты тем. Самым сложным оказался имплант из кластера "Analytics" - MU-плагин session-manager.php, который не отключается через стандартную панель администратора, обходит сканеры безопасности, ворует учётные данные при входе, предоставляет три канала удалённого выполнения команд и даже содержит модуль для кражи данных WooCommerce. Этот бэкдор использует одинаковый ключ аутентификации на всех заражённых сайтах, что является операционной ошибкой оператора.

Кластер "Beer", по оценке экспертов, представляет собой текущую MaaS-версию, которую сдают в аренду аффилиатам. Каждый арендатор получает собственный смарт-контракт и развёртывает свою кампанию. Например, кампания "Bintang" использовала типовые PHP-бэкдоры с индонезийскими строками в коде. Вероятным оператором этой кампании является пользователь tope (cybershell_master), единственный англоговорящий участник в теме ErrTraffic, который также проявил интерес к покупкам в индонезийских банковских услугах.

Кроме взломанных WordPress-сайтов, злоумышленники регистрируют поддельные сайты, мимикрирующие под AI-инструменты. Домен antigravity[.]study выдавал себя за платформу Google Antigravity, а chatgpt-web[.]vip - за ChatGPT. На этих сайтах не было реального контента - только пустые HTML-оболочки с триггером ClickFix. Предположительно, трафик на них привлекался через малвертайзинг. В первом случае конечной нагрузкой оказался бот DanaBot, во втором - загрузчик HijackLoader, скрытый в архиве размером более 120 мегабайт специально для обхода песочниц.

Эксперты Sekoia TDR сделали несколько важных выводов. Технические различия между кластерами (отсутствие шифрования трафика в "Analytics", разные конечные точки для загрузки лур, разная обфускация кода) указывают на то, что кластер "Analytics" использует устаревшую версию фреймворка, купленную, а не арендованную. Этот кластер управляется одним оператором, который на протяжении нескольких месяцев распространяет исключительно Vidar. В отличие от него, кластер "Beer" явно связан с MaaS-предложением LenAI, и разные смарт-контракты соответствуют разным аффилиатам, которые самостоятельно подключают собственные бэкдоры и целевые стилеры.

Стремительный рост числа атак с использованием ErrTraffic подтверждает, что модель ClickFix в сочетании с EtherHiding превратилась в зрелый и доходный бизнес. Злоумышленники научились эффективно маскировать команды PowerShell под легитимные операции, использовать блокчейн для сокрытия управляющей инфраструктуры и привлекать трафик через подделку популярных брендов. Для защиты организаций рекомендуется включить расширенное логгирование PowerShell ScriptBlockText и отслеживать цепочки событий, включающие обращение к блокчейн-сервисам, последующее соединение с доменами редких зон (.beer, .monster) и запуск PowerShell. Такая корреляция позволяет выявить инфекцию даже в отсутствие сигнатурных правил.

Индикаторы компрометации

Domains

  • abrikos.xyz
  • adzeta.monster
  • anakondabob.club
  • antigravity.study
  • babybon.cfd
  • bcncdncl-ns.beer
  • best-claudns-js.beer
  • biletors.cfd
  • bobik.cfd
  • bootstrup-cdn-ns.beer
  • bootstrup-framework-js.beer
  • bulletpop.cyou
  • chatgpt-web.vip
  • chubrik.sbs
  • clacndjsvulnarbi.beer
  • clip-stash.beer
  • clnsdns.beer
  • cloud-safe.click
  • comicstar.lat
  • defi-xstocks.vip
  • dhnsdns.beer
  • etomoe.cfd
  • etomoidomen.cfd
  • fetestjs.beer
  • finework.top
  • framesavecloudjs.beer
  • gdedengikarlos.cfd
  • istile-c-cloud.beer
  • jogosdecarrobr.monster
  • js-server.beer
  • krolikrojer.lat
  • letsgomakemoneyoncaptcha.beer
  • lsikjsns.beer
  • mambet.lol
  • marinaradom.cfd
  • marmelad.lat
  • mhaskins.top
  • microchlen.lat
  • milksos.cfd
  • mnepohui.sbs
  • nextpgh3.com
  • ns-claude-js.beer
  • ns-server-jscdn.beer
  • ntsnsdns.beer
  • pohuimne.lol
  • ponikas.cyou
  • robodomain.sbs
  • sandman.bond
  • sandman.lat
  • sane-cdn-js.beer
  • sdnssmdf-js.beer
  • slndcdnclaud.beer
  • smackit.lat
  • smtnscerver.beer
  • spartanec.lat
  • ssns-cdn-ns.beer
  • superpooper.click
  • testerlau.lat
  • traffadmin.monster
  • travel-js-ns.beer
  • verification-cdn-cloud.beer
  • vsactivens.beer
  • webanalytics-cdn.cfd
  • webanalytics-cdn.cyou
  • webanalytics-cdn.icu
  • webanalytics-cdn.sbs
  • webflare.beer
  • web-protection.beer
  • web-safe.beer
  • yoshicity.xyz

URLs

  • https://devltd.top/flomowk2.zip

MD5

  • 1f5a7f45c9ad8f06b9bf1ddc2a99c8fa

SHA1

  • 0f769f459f9ed3e02c3d76af39dafc4e944f871b

SHA256

  • 83264e9216fb747d9e0048c6559d66dfca05cf50a1d415ecf212c879d08741ce

YARA

Комментарии: 0