reprodução Hudson Rock

Novo clickfix provoca pânico, medo e urgência imediatos

Uma infraestrutura de cibercrime batizada com o nome “Errtraffic” consolidou a técnica de engenharia social “clickfix” como um método de distribuição de malware em larga escala. A estratégia consiste na manipulação de usuários para a execução manual de comandos maliciosos em seus próprios dispositivos. Pesquisadores da empresa de segurança Hudson Rock identificaram a operação e publicaram um relatório detalhando como o sistema utiliza páginas de destino que simulam erros técnicos em navegadores como Google Chrome e Microsoft Edge, ou falhas em serviços como Google Meet e Zoom. Ao tentar resolver o suposto problema, a vítima copia um código para a área de transferência e o executa via terminal de comando, contornando proteções automatizadas de sistemas operacionais.

Funcionamento técnico e vetores de infecção

O processo de infecção ocorre em etapas. Inicialmente, o usuário acessa um site legítimo que foi comprometido ou é atraído por anúncios maliciosos para uma página de erro falsa. O sistema Errtraffic gera uma sobreposição visual que instrui o usuário a pressionar combinações de teclas como “Windows + R”, colar um comando (Ctrl + V) e pressionar “Enter”. Este comando inicia o PowerShell para baixar scripts em VBScript ou arquivos JavaScript. A técnica é eficaz para ignorar filtros de e-mail e sistemas de detecção de endpoint (EDR). Como a execução do código parte de uma ação direta do usuário, o software de segurança identifica o processo como uma atividade legítima.

As atividades relacionadas a esta infraestrutura registram volume desde o primeiro semestre de 2024. Monitoramentos realizados por divisões de inteligência, como a Microsoft Threat Intelligence, apontam que entre março e junho de 2024 houve um aumento nas campanhas de e-mail enviadas pelo grupo rastreado como Storm-1607. Os ataques ocorrem de forma contínua em escala global, atingindo redes corporativas e usuários domésticos diariamente através de sites comprometidos e malvertising.

Segundo a Hudson Rock, a ferramenta injeta CSS e JavaScript, substituindo
o texto padrão por símbolos ilegíveis, parecendo “destruir” o site. Com

isso, o atacante cria um problema imediato. O botão “Instalar atualização”
ou “Baixar fonte” é apresentado como solução

A finalidade do Errtraffic é a entrega de malwares de acesso remoto e infostealers, como o Vidar, StealC e Lumma Stealer, para o roubo de credenciais e dados financeiros. Dados da Hudson Rock indicam que a escala dessa operação reflete uma “industrialização” do cibercrime, onde kits prontos são fornecidos a diversos grupos de ameaças. A infraestrutura permite a automação da entrega de cargas maliciosas, o que explica a disseminação por milhares de domínios em um curto período.

No painel de controle do Errtraffic, destaque para vítimas do Brasil

Correlação das ações na campanha Errtraffic com a matriz Mitre ATT&CK e respectivas estratégias de defesa para SIEM:

Tática MITRE ATT&CK UtilizadaTécnica / ProcedimentoRegra de Detecção (SIEM) / Ação de Mitigação
ExecuçãoUser Execution: Malicious Copy and Paste (T1204.004)Monitorar processos powershell.exe ou cmd.exe iniciados com comandos que contenham IEX, base64 ou Invoke-WebRequest após atividade no navegador.
ExecuçãoCommand and Scripting Interpreter: PowerShell (T1059.001)Alerta para comandos PowerShell com -ExecutionPolicy Bypass ou -WindowStyle Hidden conectando-se a IPs externos não mapeados.
Defesa EvasivaObfuscated Files or Information (T1027)Detectar a criação de arquivos .vbs ou .js em diretórios temporários (AppData\Local\Temp) com nomes aleatórios ou alta entropia.
Acesso InicialPhishing: Malicious Service (T1566.003)Bloqueio de tráfego para domínios que simulam infraestrutura de suporte (ex: fix-browser.org, google-meet.us).
Comando e ControleApplication Layer Protocol (T1071.001)Monitoramento de requisições HTTP para endpoints conhecidos da infraestrutura ERRTRAFFIC (ex: /api/v1/traffic).

Indicadores de Comprometimento (IoCs):

  • Domínios: google-meet[.]us, zoom-error[.]com, browser-fix[.]org, update-chrome[.]com.
  • Processos: Execuções de PowerShell originadas diretamente de chrome.exe ou msedge.exe via comando de usuário.