В мире киберугроз наблюдается рост сложности инструментов, доступных даже начинающим злоумышленникам. Коммерческие платформы для распространения вредоносного ПО становятся всё более функциональными и изощрёнными, активно внедряя новые технологии для обхода защиты. Один из таких инструментов, ErrTraffic, перешёл на новую версию, которая демонстрирует тревожный тренд: использование смарт-контрактов в блокчейне для управления атаками и скрытия инфраструктуры. Эксперты исследовательской команды LevelBlue SpiderLabs детально изучили последнюю версию этой системы, вышедшую в начале 2026 года, и выявили её связь с новой волной атак на сайты под управлением WordPress.
Описание
ErrTraffic представляет собой многофункциональную платформу класса Traffic Distribution System (система распределения трафика), специально разработанную для проведения кампаний ClickFix. Последние представляют собой сложные схемы социальной инженерии, где пользователей обманом заставляют установить вредоносное ПО под видом исправления ошибки, обновления браузера или проверки безопасности. Этот инструмент, рекламируемый на киберпреступных форумах под ником "LenAI", позволяет злоумышленникам распространять угрозы через скомпрометированные веб-сайты, вредоносную рекламу и контролируемую инфраструктуру. Стоимость аренды ErrTraffic варьируется от 380 долларов за 30 дней до 1800 долларов за полгода, а полный исходный код с пожизненной поддержкой оценивается в 4500 долларов.
Атака начинается с компрометации сайта на WordPress. Злоумышленники внедряют PHP-бэкдор в директорию must-use plugin (mu-plugin), что обеспечивает его автоматический запуск при каждом обращении к сайту. Этот бэкдор обладает широким набором функций, включая кражу учетных данных администратора, выполнение произвольных команд и внедрение вредоносных JavaScript-скриптов в код страниц. Последнее является ключевым для следующего этапа. Внедрённые скрипты, обфусцированные с помощью XOR и Base64, выполняют роль первой стадии загрузчика.
На второй стадии в дело вступает непосредственно ErrTraffic V3. Главным нововведением этой версии стал переход на технику EtherHiding. Вместо того чтобы напрямую обращаться к серверу злоумышленников, скрипт делает запрос к удалённому узлу (RPC endpoint) блокчейн-сети Polygon, чтобы вызвать смарт-контракт - программу, автоматически выполняющую заданную логику на блокчейне. Исследователи обнаружили, что контракт по адресу 0x08207B087F61d7e95E441E15fd6d40BEfd6eD308 возвращает адрес управляемой злоумышленниками панели управления (C2). Это позволяет гибко менять инфраструктуру, не переписывая код на тысячах заражённых сайтов, и скрывать реальные серверы за децентрализованной технологией.
Получив адрес C2, система загружает финальную конфигурацию, которая определяет сценарий социальной инженерии - так называемый "режим" (mode). ErrTraffic поддерживает множество изощрённых режимов, имитирующих легитимные уведомления: страницы проверки Cloudflare, запросы reCAPTCHA, сообщения об обновлении браузера или шрифтов, и даже реалистичный синий экран смерти (BSOD) Windows. Контент адаптируется под язык браузера жертвы, что повышает доверие. В зависимости от операционной системы посетителя (Windows или macOS) подставляется соответствующий финальный вредоносный полезная нагрузка, например, обфусцированный PowerShell-скрипт, который копируется в буфер обмена и предлагается для запуска под предлогом "исправления" несуществующей проблемы.
Несмотря на всю техническую сложность, авторы ErrTraffic допустили серьёзные промахи в операционной безопасности (OpSec). В коде бэкдора и API-коммуникаций жёстко прописан один и тот же криптографический ключ. Его повторное использование на множестве скомпрометированных сайтов позволяет исследователям и защитникам относительно легко обнаруживать связанные инсталляции и отслеживать инфраструктуру злоумышленников. Анализ показал, что активность связана с рядом хостеров, включая Omegatech LTD, известный как "пуленепробиваемый", и Cloudflare, чьи сервисы используются для маскировки.
Появление ErrTraffic V3 знаменует опасную эволюцию инструментов киберпреступников. Интеграция с блокчейном для скрытого управления атаками делает угрозу более устойчивой и сложной для отслеживания. Хотя текущая кампания нацелена на WordPress, логично ожидать распространения аналогичных методов на другие системы управления контентом. Социальная инженерия остаётся краеугольным камнем атаки, а поддержка множества языков и сценариев делает её чрезвычайно убедительной. Для специалистов по безопасности это сигнал к усилению мониторинга необычной активности на веб-ресурсах, особенно связанной с обращениями к блокчейн-сетям, и к строгому соблюдению принципа минимальных привилегий при управлении плагинами и компонентами CMS.
Индикаторы компрометации
Domains
- bokshire.in.net
- cloudflare-check.cfd
- dysenteryphysics.in.net
- microblogver.bond
- mygoodblog.bond
- mygoodblog.cfd
- myverifhouse.sbs
- productionmaza.bond
- productionmaza.cfd
- productionmaza.cyou
- productionmaza.sbs
- sitepromclop.click
- skyhub.digital
- suspendvector.in.net
URLs
- https://webanalytics-cdn.cfd/i
- https://webanalytics-cdn.cyou/i
- https://webanalytics-cdn.icu/i
- https://webanalytics-cdn.sbs/c
- https://webanalytics-cdn.sbs/i
SHA256
- 2be8ce644fd8e4d3da7f63c190ffb4e312801fb1da2fd8711b0dab20f37f0e26
- 3f4bb8dc57dcc317ddabc5d7821ff0ddaa4dc76dc6ffbd2aea2d5d91086c8f19
- 5b15dde0557c4c53c7d827c56992304514b4371cebd391741445415866e4b413
- 801af0772effdb8bd6634bebf08694ace8dbc77033e81f08090e6074ab6c2afe
- 90252f369724fc90be3e55f5c1fdf6e39c0693c0061af8c3cf69b77d4f8ac2a7
- b5335e7e28f8c8533ad1c199151a3a37aaba56a79cd343945c1c9eeb13fcfeab
- bc83a4e4b8d579cfca1258d52c1023958bf1f49052544fb25140ffbcfa0781c1
- d14066075079d3bed64a548bca1dfc50944eed99c8d0d14e737c2ff0e24b402a
- df528fb54cfea10c3683022da382677990e931a886fce05107dd2f76686a991f
Wallet Address
- 0x08207B087F61d7e95E441E15fd6d40BEfd6eD308
- 0xA1decFB75C8C0CA28C10517ce56B710baf727d2e
- 0x46790e2Ac7F3CA5a7D1bfCe312d11E91d23383Ff
- 0x68DcE15C1002a2689E19D33A3aE509DD1fEb11A5
- 0xf4a32588b50a59a82fbA148d436081A48d80832A
