ErrTraffic Fueling ClickFix by Breaking the Page Visually and Turns Attack to GlitchFix

เทคนิควิศวกรรมสังคมรูปแบบใหม่ที่เรียกว่า GlitchFix ได้ถูกตรวจพบ โดยใช้แพลตฟอร์ม ErrTraffic ซึ่งเป็นระบบกระจายทราฟฟิกที่ออกแบบมาเพื่อหลอกล่อให้ผู้เยี่ยมชมเว็บไซต์ดาวน์โหลดมัลแวร์ผ่านหน้าเว็บที่ดูเหมือนเสียหาย แพลตฟอร์มโจมตีนี้มีราคาประมาณ 800 ดอลลาร์สหรัฐฯ และช่วยให้ผู้โจมตีทางไซเบอร์สามารถรันแคมเปญหลอกลวงได้ในหลายระบบปฏิบัติการ เช่น Windows, macOS, Android และ Linux รวมถึงรองรับ 8 ภาษา เทคนิคนี้สร้างความรู้สึกเร่งด่วนโดยการบิดเบือนเนื้อหาหน้าเว็บด้วยตัวอักษรขยะ เอฟเฟกต์ CSS และการกระตุกของเมาส์ ในขณะที่ข้อความแจ้งเตือนการอัปเดตปลอมยังคงอ่านได้ชัดเจน มัลแวร์ที่ถูกส่งมามักเป็นเครื่องมือจัดการและตรวจสอบระยะไกล (RMM) เช่น FleetDeck, ITarian MDM และ ConnectWise Control ซึ่งมักจะถูกยอมรับโดยผลิตภัณฑ์รักษาความปลอดภัย ทำให้การตรวจจับทำได้ยาก

Severity: วิกฤต

System Impact:

• Windows
• macOS
• Android
• Linux
• Browsers

Technical Attack Steps:

1. การเข้าถึงเบื้องต้น: ผู้เสียหายเข้าชมเว็บไซต์ที่ถูกโจมตีซึ่งมีสคริปต์ JavaScript ที่เป็นอันตรายถูกฝังไว้จากแผงควบคุม ErrTraffic
2. การระบุตัวตนและการหลบเลี่ยง: สคริปต์จะเก็บข้อมูลเบราว์เซอร์, ระบบปฏิบัติการ และการตั้งค่าภาษา จากนั้นจะทำการกรองตามภูมิศาสตร์ (บล็อกประเทศ CIS) และตรวจจับบอตเพื่อหลีกเลี่ยงเครื่องมือรักษาความปลอดภัย
3. การหลอกลวงด้วยภาพ (โหมดวุ่นวาย): หากผ่านการตรวจสอบ หน้าเว็บจะถูกบิดเบือนโดยเจตนาด้วยตัวอักษร Unicode ที่อ่านไม่ออก การเปลี่ยนแปลง CSS และเอฟเฟกต์การกระตุกของเมาส์ สร้างภาพลวงตาว่าระบบมีข้อผิดพลาด
4. การแจ้งเตือนการอัปเดตปลอม: หน้าต่างโมดัลที่ดูเป็นปกติจะปรากฏขึ้น แจ้งให้ผู้ใช้ดาวน์โหลดการอัปเดตที่สำคัญสำหรับเบราว์เซอร์หรือระบบ หรือให้รันคำสั่ง PowerShell
5. การส่งมัลแวร์: เมื่อผู้เสียหายคลิกปุ่ม ‘อัปเดต’ จะมีการขอโทเค็นดาวน์โหลดแบบครั้งเดียว ระบบจะส่งโปรแกรมติดตั้ง RMM (เช่น FleetDeck, ITarian MDM, ConnectWise Control) ที่เฉพาะเจาะจงกับระบบปฏิบัติการผ่าน iframe ที่ซ่อนไว้ หรือคัดลอกคำสั่ง PowerShell ที่ถูกซ่อนไว้ไปยังคลิปบอร์ดเพื่อให้ผู้ใช้รันด้วยตนเอง ซึ่งทำให้ผู้โจมตีเข้าถึงระบบจากระยะไกลได้

Recommendations:

Short Term:

• เฝ้าระวังการใช้งานคุกกี้ ‘errtraffic_session’ ในเครือข่ายเพื่อตรวจจับกิจกรรมที่น่าสงสัย
• ให้ความรู้แก่ผู้ใช้งานอย่างเร่งด่วนเกี่ยวกับการแจ้งเตือนการอัปเดตซอฟต์แวร์ปลอมและสัญญาณของหน้าเว็บที่ถูกบิดเบือน
• ตรวจสอบและบล็อกการติดตั้งเครื่องมือจัดการระยะไกล (RMM) ที่ไม่ได้รับอนุญาต เช่น FleetDeck, ITarian MDM, และ ConnectWise Control

Long Term:

• เสริมสร้างความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ให้กับผู้ใช้งานอย่างต่อเนื่อง โดยเน้นเทคนิควิศวกรรมสังคมใหม่ๆ
• ทบทวนและปรับปรุงนโยบายการรักษาความปลอดภัยของระบบและเครือข่าย เพื่อป้องกันการติดตั้งซอฟต์แวร์ที่ไม่พึงประสงค์
• ใช้โซลูชันความปลอดภัยที่สามารถตรวจจับพฤติกรรมที่ผิดปกติและมัลแวร์ที่ปลอมแปลงเป็นซอฟต์แวร์ที่ถูกต้องตามกฎหมาย

Source: https://cybersecuritynews.com/errtraffic-fueling-clickfix-by-breaking/