Resumo
Pesquisadores identificaram uma plataforma de distribuição de tráfego chamada ErrTraffic que estende a técnica conhecida como ClickFix para uma variante apelidada de GlitchFix. A infraestrutura entrega instaladores de RMM disfarçados por prompts de atualização em páginas propositalmente “quebradas”, dificultando a detecção tradicional.
O que foi identificado
Analistas da Censys descobriram cinco servidores físicos executando painéis ErrTraffic em três sistemas autônomos e associaram onze domínios únicos à infraestrutura. Foram observadas simultaneamente duas versões do painel: a v2 (JavaScript não ofuscado, interface administrativa em russo) e a v3 (ofuscação XOR e modo ClickFix avançado). Uma instância mal configurada expôs o código‑fonte completo, permitindo análise detalhada do funcionamento.
Vetor e fluxo de ataque
O ataque inicia quando um visitante alcança um site comprometido que carrega um script a partir do painel ErrTraffic. O JavaScript fingerprinta o navegador, sistema operacional e idioma, aplica filtros geográficos (usando a API ipwho.is) e executa checagens antiscanner/bot. Se o alvo “passar” nos filtros, a página entra em modo de caos visual — texto corrompido, transformações CSS e efeitos de jitter — enquanto um modal limpo oferece uma “atualização” ou instalação de fontes.
Payloads e evasão
Após interação do usuário, o painel emite um token de download único e serve instaladores específicos por sistema operacional através de iframes ocultos. O pacote inclui ferramentas de gestão remota (RMM) legítimas e assinadas digitalmente, como FleetDeck, ITarian MDM e ConnectWise Control, que frequentemente são allowlisted por soluções de segurança; isso complica a detecção por assinaturas. A versão 3 também pode copiar comandos PowerShell ofuscados para a área de transferência, instruindo o usuário a executar comandos manualmente — técnica que contorna proteções de download.
Evidências técnicas e indicadores
- Assinatura de sessão: cookie errtraffic_session.
- Paths observados: /api/css.js.php (v2) e /api/css.js (v3).
- Uso de TLDs baratos e serviços de subdomínio gratuitos; painéis chegaram a se passar por órgãos com domínios que imitam serviços governamentais.
O que falta e limites da análise
Não há no material público indicação de campanhas direcionadas ao Brasil ou de exploração em larga escala com números de vítimas confirmados. A amostra analisada (cinco servidores, onze domínios) permite entender o painel, mas não quantificar alcance global.
Mitigações e recomendações
As ações sugeridas pelos pesquisadores incluem: monitorar rede por cookies errtraffic_session e requisições a endpoints com /api/css.js*, educar usuários sobre prompts de atualização e verificar instalações incomuns de RMM em estações e servidores. Como medidas imediatas, bloquear domínios e tokens identificados e reforçar controles de allowlisting de aplicações são práticas recomendadas.
Relevância
ErrTraffic representa um exemplo de malware‑as‑a‑service que combina engenharia social visual e distribuição de payloads assinados, aumentando o risco operacional para ambientes que dependem de allowlisting baseado apenas em assinatura de binários.
Fontes: análise da Censys e relatório publicado no Cyber Security News.