ErrTraffic: Mối đe dọa mạng nghiêm trọng từ ClickFix Attacks

Một công cụ tội phạm mạng nguy hiểm mang tên ErrTraffic đã xuất hiện trên các diễn đàn ngầm, làm gia tăng mối đe dọa mạng bằng cách đơn giản hóa quá trình lừa người dùng thực thi phần mềm độc hại trên thiết bị của họ. Công cụ này tự động hóa các cuộc tấn công mà các chuyên gia bảo mật gọi là ClickFix attacks, nơi các thông báo lỗi giả mạo thúc đẩy người dùng tự nguyện thực hiện các lệnh độc hại, tạo ra một mối đe dọa mạng mới và hiệu quả.

ErrTraffic: Công Cụ Tạo Ra Mối Đe Dọa Mạng Đa Nền Tảng

ErrTraffic được phát hiện lần đầu trên các diễn đàn tội phạm mạng tiếng Nga vào đầu tháng 12 năm 2025, được quảng cáo bởi một tác nhân đe dọa với biệt danh LenAl. Điểm đáng lo ngại của ErrTraffic nằm ở thiết kế chuyên nghiệp và chi phí thấp, làm gia tăng khả năng đối phó với mối đe dọa mạng này ngay cả từ những tội phạm ít kỹ năng.

Công cụ này có khả năng hoạt động trên nhiều nền tảng phổ biến, bao gồm Windows, Android, macOS và Linux. Với mức giá 800 USD, tội phạm có thể mua gói ErrTraffic hoàn chỉnh, bao gồm bảng điều khiển (control panel) và hệ thống script tạo ra các lỗi giả mạo đáng tin cậy trên các trang web đã bị xâm nhập.

Cơ Chế Hoạt Động Của ClickFix Attacks

Khác với các phương pháp tấn công truyền thống cố gắng bí mật tải xuống tệp, ClickFix attacks hoạt động bằng cách tạo ra các vấn đề giả mạo trên các trang web, dường như yêu cầu người dùng khắc phục chúng bằng cách chạy các mã cụ thể. Kỹ thuật này đã được các nhà nghiên cứu bảo mật theo dõi và phân tích sâu rộng.

Khi khách truy cập truy cập vào một trang web bị nhiễm, họ sẽ thấy văn bản bị hỏng, phông chữ bị xáo trộn và các lỗi hình ảnh khiến trang web trông như bị lỗi. Một cửa sổ bật lên sau đó xuất hiện, đề nghị khắc phục sự cố thông qua cập nhật trình duyệt hoặc cài đặt phông chữ hệ thống bị thiếu.

Nhóm Hudson Rock Threat Intelligence Team đã xác định công cụ này sau khi theo dõi các bài đăng quảng cáo và phân tích khả năng kỹ thuật của nó. Để hiểu rõ hơn về cách thức hoạt động của công cụ này và các chiến dịch liên quan, bạn có thể tham khảo phân tích chi tiết tại The Industrialization of ClickFix: Inside ErrTraffic.

Phân Tích Kỹ Thuật Chi Tiết ErrTraffic

Phía sau các cuộc tấn công mạng này, ErrTraffic hoạt động thông qua một cơ chế JavaScript injection đơn giản. Những kẻ tấn công đã xâm nhập một trang web có thể thêm một dòng mã để kết nối với bảng điều khiển từ xa của chúng.

Script này tự động phát hiện thiết bị và trình duyệt mà mỗi khách truy cập đang sử dụng, sau đó hiển thị một thông báo lỗi giả mạo được tùy chỉnh theo ngôn ngữ phù hợp. Điều này làm tăng độ tin cậy và khả năng thành công của mối đe dọa mạng đối với người dùng cuối, khiến việc phân biệt giữa nội dung hợp pháp và độc hại trở nên khó khăn hơn.

Quá trình lây nhiễm xảy ra khi người dùng nhấp vào nút “khắc phục” (fix button). Hành động này sẽ sao chép một lệnh PowerShell vào clipboard của họ và hướng dẫn họ dán lệnh đó vào hệ thống. Việc này thường được trình bày dưới dạng một bước khắc phục sự cố hệ thống hoặc cập nhật cần thiết.

Kỹ thuật này đặc biệt hiệu quả vì nó bỏ qua các phần mềm bảo mật truyền thống. Trình duyệt xem hành động này là sao chép văn bản hợp lệ, và các công cụ bảo mật xem việc người dùng mở PowerShell là hành vi bình thường. Đây là một điểm yếu nghiêm trọng trong an ninh mạng mà ErrTraffic khai thác để thực hiện mối đe dọa mạng của mình.

Hiệu Quả Chiến Dịch và Các Loại Mã Độc

Phân tích các chiến dịch ErrTraffic đang hoạt động cho thấy hiệu quả đáng kinh ngạc. Dữ liệu bảng điều khiển từ các cuộc tấn công thực tế cho thấy tỷ lệ chuyển đổi đạt gần 60%, nghĩa là gần sáu trong số mười người nhìn thấy thông báo lỗi giả mạo đã mắc bẫy và cài đặt mã độc. Con số này minh chứng cho mức độ nghiêm trọng của mối đe dọa mạng mà ErrTraffic gây ra.

Công cụ này cung cấp bất kỳ payload nào mà kẻ tấn công tải lên. Các payload điển hình bao gồm các infostealers như Lumma hoặc Vidar cho các thiết bị Windows, và các banking trojans cho điện thoại Android. Những loại mã độc này đều gây ra rủi ro bảo mật nghiêm trọng, từ đánh cắp thông tin cá nhân đến chiếm đoạt tài khoản ngân hàng.

Bảng điều khiển của ErrTraffic thậm chí còn bao gồm tính năng lọc địa lý, với các khối được mã hóa cứng cho Nga và các quốc gia lân cận. Tính năng này nhằm tránh sự truy quét của cơ quan thực thi pháp luật địa phương, giúp kẻ tấn công duy trì hoạt động và tiếp tục gây ra mối đe dọa mạng.

Một khi bị nhiễm, máy tính nạn nhân có thể bị đánh cắp thông tin đăng nhập. Những kẻ tấn công sau đó sử dụng các thông tin này để xâm nhập thêm các trang web và lan truyền cuộc tấn công mạng xa hơn, tạo ra một chu kỳ lây nhiễm tự duy trì và tăng cường mối đe dọa mạng tổng thể trên không gian mạng.