概要:ErrTrafficと「GlitchFix」攻撃
「ErrTraffic」は、ClickFixソーシャルエンジニアリング攻撃を目的としたトラフィック配信システム(TDS)です。従来の偽アップデート警告とは異なり、ErrTrafficは意図的にウェブサイトの表示を破壊し、文字を判読不能にしたり、CSSを歪ませたり、カーソルを不安定にすることで、ユーザーにデバイスが故障したと信じ込ませます。この視覚的混乱を利用する手口は「GlitchFix」と呼ばれ、ユーザーにマルウェアをインストールさせるよう誘導する非常に効果的な手段となっています。
攻撃の仕組み
ユーザーがErrTrafficコードを含む侵害されたウェブサイトにアクセスすると、攻撃は即座に開始されます。悪意のあるスクリプトは、被害者のオペレーティングシステム、ブラウザの種類、および地理的位置をチェックします。これらのチェックが通過すると、ページは瞬時に歪められ、判読不能な記号、破損したCSS、不自然なカーソルの動きといった視覚的エラーが発生します。数秒以内に、Chrome、Firefox、またはWindowsを装った偽のアップデートモダルが表示され、ユーザーはシステムの「修復」を促されます。
ビジネスモデルと驚異的な成功率
セキュリティ研究者たちは、脅威アクター「LenAI」がロシアのフォーラムでErrTraffic v2を約800ドルで販売していることを発見しました。特筆すべきは、その驚異的なコンバージョン率が約60%に達している点です。これは、偽のグリッチを見たユーザーの10人中6人が悪意のあるボタンをクリックするという、ソーシャルエンジニアリングツールとしては前例のない成功を意味します。ErrTrafficはサブスクリプションモデルで提供されており、キャンペーンを継続するには継続的な支払いが必要です。
主な攻撃モード
- ブラウザアップデートモード:Chrome、Firefox、Edgeの偽アップデートメッセージを地域言語で表示します。
- フォントモード:システムフォントが欠落しておりインストールが必要であると主張します。
- ClickFixモード(v3のみ):難読化されたPowerShellコマンドをクリップボードにコピーし、「Win+X、次にI、次にCtrl+V、次にEnter」を押すよう指示することで、ウィンドウを開かずに隠れたマルウェアインストーラーを実行させます。
運用上のセキュリティ対策
攻撃者は、ドメイン名パターンとして安価なTLD(.cfd、.art)や無料のサブドメインサービス(kozow[.]com)を好んで使用しており、これらは身元確認が最小限で済むため、匿名性を維持しやすくなっています。
配信されるペイロード
ErrTrafficが拡散するのは、従来のマルウェアではありません。代わりに、デジタル署名されたリモート監視・管理(RMM)ツールを送り込みます。具体的には、Windows向けにFleetDeck、Android向けにITarian MDM、macOS向けにConnectWise Control、Linux向けにITarian ITSMが使用されます。これらの正規のツールはセキュリティソフトウェアによって許可リストに登録されているため、正当なIT運用を妨げることなくブロックすることは非常に困難です。
インフラと回避戦略
攻撃のインフラは、オランダ、スウェーデン、ロシアに分散しています。このツールは、トークンベースのペイロード配信、クローラーに対するボット検出、および特定の国(特にCIS諸国)をブロックするジオフェンシング機能を使用しており、これはロシア語を話す脅威アクターが訴追を回避しようとしていることを示唆しています。
結論と対策
ErrTrafficは、産業化されたソーシャルエンジニアリングの最たる例です。60%という高いコンバージョン率とプロフェッショナルなインフラを備えたこの汎用ツールは、侵害プロセスを劇的に加速させます。組織は、ユーザーへのセキュリティ意識向上トレーニングを優先し、RMMツールの実行を厳しく制限することで、感染を防ぐ必要があります。
侵害の痕跡(IOCs)
- Cookie:
errtraffic_session= - URLパス:
/api/css.js.php(v2ペイロード) - URLパス:
/api/css.js(v3ペイロード、難読化済み) - URLパターン:
/api/index.php?action=(v3 API呼び出し)