Scopri anche

• Notepad++: Vulnerabilità WinGup e dirottamento aggiornamenti da parte di hacker statali
• RondoDox Botnet Sfrutta la Vulnerabilità React2Shell per Colpire Server Next.js
• Arc Raiders: la patch 1.12.0 contrasta gli exploit su Stella Montis
• Compromissione dell'infrastruttura di aggiornamento di Notepad++ da parte di hacker statali

ErrTraffic: Il servizio da $800 che automatizza gli attacchi ClickFix tramite falsi problemi del browser

ErrTraffic: Il servizio da $800 che automatizza gli attacchi ClickFix tramite falsi problemi del browser

La industrializzazione del cybercrime sociale

⬆ Torna su Il panorama della criminalità informatica sta subendo un profondo cambiamento strutturale. Si assiste alla transizione da metodi di intrusione personalizzati e ad alta competenza a strumenti di social engineering commercializzati come servizi. Al centro di questa trasformazione c'è la rapida proliferazione dei tool "ClickFix", overlay ingannevoli che inducono gli utenti a eseguire manualmente script dannosi. I ricercatori di Hudson Rock hanno identificato e analizzato un nuovo servizio ClickFix altamente sofisticato, attualmente promosso sui forum cybercriminali di lingua russa di alto livello. Denominato "ErrTraffic" (o ErrTraffic v2), questa suite software completa industrializza la distribuzione delle esche ClickFix.

La morte del drive-by download e l'ascesa del ClickFix

⬆ Torna su Il "drive-by download" è considerato morto. Browser moderni come Chrome e Edge hanno reso quasi impossibili i download silenziosi senza interazione dell'utente. In risposta, i threat actor sono passati al Social Engineering 2.0. ClickFix rappresenta un perfezionamento pericoloso del "Fake Browser Update". Invece di chiedere all'utente di scaricare un file, l'esca ClickFix presenta un problema che richiede un intervento a livello di sistema, istruendo l'utente ad aprire la finestra di dialogo Esegui di Windows (Win+R) o PowerShell e incollare un "codice di verifica". L'efficacia di ClickFix risiede nello sfruttamento del "Air Gap" tra il browser e il sistema operativo: quando l'utente incolla ed esegue il codice, questo viene eseguito con i privilegi completi dell'utente, spesso bypassando completamente la scansione statica dei file.

La promozione di ErrTraffic sui forum russi

⬆ Torna su All'inizio di dicembre 2025, gli analisti di Hudson Rock hanno osservato un nuovo thread promozionale di un threat actor che opera con lo handle "LenAI" che pubblicizzava "ErrTraffic v2.Panel". La proposta di marketing era distinta: invece di concentrarsi sul payload, si concentrava sul meccanismo di distribuzione, in particolare sulla capacità di generare "falsi glitch" su siti web compromessi. L'attore "LenAI" (non correlato al legittimo strumento AI) ha uno status di "Venditore" con una data di registrazione dell'8 dicembre 2025. Il progetto viene venduto per $800, ma i threat actor spesso rivendono i loro progetti più volte nelle comunità underground.

Architettura tecnica e dashboard

⬆ Torna su La dashboard di ErrTraffic fornisce una rara visione della User Experience (UX) degli strumenti cybercriminali moderni. È pulita, moderna e imita le piattaforme SaaS legittime. Il pannello di controllo è un'applicazione PHP self-hosted. Una volta avviato, l'attaccante collega il pannello ai siti web compromessi tramite una singola riga di injection HTML. L'estensione del file .js.php è significativa. Indica al server di elaborare il file come PHP (eseguendo logica come il filtraggio IP) ma di servirlo come JavaScript. Un punto di vendita critico evidenziato nella pubblicità sul forum è che lo strumento "non influisce sui file del sito". A differenza dei vecchi exploit che potrebbero deturpare un sito web o interromperne la funzionalità (avvisando immediatamente il proprietario), ErrTraffic sovrappone il suo "glitch" solo quando sono soddisfatte condizioni specifiche. Il sito web legittimo continua a funzionare normalmente per la maggior parte degli utenti (e per il proprietario del sito).

La tecnica del glitch visivo

⬆ Torna su ErrTraffic si distingue per i suoi payload visivi. Modifica il DOM della pagina web per creare caos. L'effetto Glitch: lo strumento inietta CSS e JavaScript che sostituiscono il testo standard con simboli illeggibili. Psicologicamente, "distruggendo" visivamente il sito web, l'aggressore crea un problema immediato. Il pulsante "Installa aggiornamento" o "Scarica carattere" presenta l'unica via di uscita. I problemi possono includere testo corrotto o illeggibile, sostituzione dei caratteri con simboli, falsi aggiornamenti di Chrome o errori di caratteri di sistema mancanti. Questo fa apparire la pagina "rotta" e crea la condizione per fornire alla vittima una "soluzione" sotto forma di installazione di un aggiornamento del browser, download di un carattere di sistema o incollaggio di qualcosa nel prompt dei comandi.

Geofencing e targeting selettivo

⬆ Torna su Il pannello delle impostazioni include un elenco "Paesi bloccati" (BY, KZ, RU, ecc.), confermando l'esclusione rigorosa dei paesi CIS, un tratto distintivo dei gruppi cybercriminali russi per evitare l'applicazione della legge locale. I clienti ErrTraffic possono definire il payload per ogni architettura targettizzata e specificare i paesi che si qualificano per l'infezione.

Meccanismo di distribuzione del payload

⬆ Torna su ErrTraffic è un "Traffic Distribution System" (TDS). Distribuisce qualsiasi file carichi l'attaccante, personalizzato in base al sistema operativo della vittima. Quando un utente clicca "Fix Glitch", JavaScript copia un comando PowerShell negli appunti. All'utente viene guidato l'esecuzione di questo comando. L'esecuzione del comando porta al download di un payload. Hudson Rock specifica esplicitamente che i payload sono infostealer Lumma e Vidar su Windows, trojan Cerberus su Android, AMOS (Atomic Stealer) su macOS e backdoor Linux non specificati.

La pipeline Infostealer-to-APT e il ciclo di feedback

⬆ Torna su ErrTraffic agisce come il motore per un ciclo vizioso e autosostenibile di compromissione. Gli infostealer non rubano solo conti bancari; rubano credenziali di Content Management System (CMS). Un'infezione porta a log rubati, che vengono elaborati dalla piattaforma Cavalier di Hudson Rock ma anche venduti sui mercati dark. Gli Initial Access Broker (IAB) acquistano questi log per trovare l'accesso a infrastrutture critiche, vendendo infine quell'accesso a gruppi ransomware o ad attori nation-state. Con tassi di conversione che si avvicinano al 60%, ErrTraffic accelera drasticamente questa timeline. Il servizio ErrTraffic rappresenta una maturazione dell'ecosistema cybercriminale. È un prodotto della domanda del mercato: i criminali avevano bisogno di un modo per bypassare la sicurezza del browser e "LenAI" ha fornito una soluzione elegante e conveniente.

Conclusioni

⬆ Torna su ErrTraffic v2.Panel dimostra come gli strumenti di attacco si stiano evolvendo verso un modello di servizio accessibile e user-friendly. La capacità di generare campagne di social engineering altamente convincenti con un investimento relativamente basso ($800) e conoscenze tecniche minime segna un punto significativo nell'industrializzazione del cybercrime. L'elevato tasso di conversione segnalato (60%) sottolinea l'efficacia della tecnica ClickFix nel bypassare le difese tradizionali sfruttando la fiducia e l'ansia dell'utente finale.

Questo articolo è stato redatto esclusivamente sulla base delle fonti elencate, senza aggiunte speculative o informazioni esterne.

Fonti

⬆ Torna su

• https://www.infostealers.com/article/the-industrialization-of-clickfix-inside-errtraffic/
• https://www.bleepingcomputer.com/news/security/new-errtraffic-service-enables-clickfix-attacks-via-fake-browser-glitches/
• https://cyberinsider.com/new-800-service-errtraffic-powers-industrial-scale-clickfix-attacks/