Một công cụ tội phạm mạng mới và đang phát triển nhanh chóng có tên ErrTraffic đang tạo ra những làn sóng trên bối cảnh các mối đe dọa mạng, nhắm mục tiêu người dùng internet thông qua các màn hình xác minh được ngụy trang khéo léo. Khung này lừa các nạn nhân chạy các lệnh PowerShell độc hại trên chính máy của họ, trong khi nạn nhân tin rằng họ chỉ đang hoàn thành một quy trình kiểm tra bảo mật thông thường. ErrTraffic lần đầu xuất hiện vào cuối năm 2025 và kể từ đó đã phát triển thành một hoạt động Malware-as-a-Service (MaaS) hoàn chỉnh, cho phép tội phạm mạng thuê công cụ và triển khai các cuộc tấn công của riêng họ nhằm vào nhiều mục tiêu.
Tổng quan về ErrTraffic
ErrTraffic hoạt động bằng cách chèn một đoạn mã JavaScript độc hại vào các trang web WordPress hợp pháp nhưng đã bị xâm phạm. Khi một người dùng truy cập vào một trong những trang này, họ sẽ thấy một màn hình xác minh giả mạo, giống với các dịch vụ đáng tin cậy như Google reCAPTCHA hoặc Cloudflare Turnstile. Nạn nhân được yêu cầu nhấn một phím tắt bàn phím, điều này bí mật thực thi một lệnh PowerShell đã được tải sẵn vào bộ nhớ tạm của họ bởi script nền độc hại.
Kỹ thuật Lừa đảo và Thực thi Lệnh
Kỹ thuật cốt lõi của ErrTraffic là ClickFix, một chiến thuật kỹ thuật xã hội sử dụng các yếu tố đánh lừa để khuyến khích người dùng tương tác theo cách có lợi cho kẻ tấn công. Trong trường hợp này, việc hiển thị màn hình xác minh giả mạo, kết hợp với lời nhắc nhấn phím tắt, là yếu tố then chốt để kích hoạt việc thực thi mã độc. Lệnh PowerShell được thực thi sẽ tải xuống và chạy payload cuối cùng, có thể là các công cụ đánh cắp thông tin, bộ tải mã độc hoặc các công cụ truy cập từ xa.
Các nhà phân tích bảo mật đã xác định hai cụm ErrTraffic riêng biệt, được đặt tên là “Analytics” và “Beer”. Mỗi cụm này chạy cơ sở hạ tầng riêng biệt và phân phối các họ mã độc khác nhau, bao gồm Vidar, Stealc, Remus, Salat, SmokeLoader và nhiều công cụ truy cập từ xa khác. Một số trang web WordPress bị nhiễm cả hai cụm đồng thời, cho thấy sự cạnh tranh và chồng chéo hoạt động giữa nhiều tác nhân đe dọa sử dụng khung này.
Kiến trúc và Phương thức Hoạt động
ErrTraffic sử dụng một phương thức độc đáo để che giấu cơ sở hạ tầng điều khiển và chỉ huy (C2) của mình. Thay vì sử dụng các máy chủ C2 truyền thống, nó đã áp dụng kỹ thuật EtherHiding, ẩn các địa chỉ C2 bên trong các hợp đồng thông minh trên blockchain Polygon. Thiết kế này làm cho các công cụ bảo mật gặp khó khăn đáng kể trong việc phát hiện và chặn lưu lượng truy cập độc hại, vì cơ sở hạ tầng của kẻ tấn công có thể được xoay vòng mà không cần triển khai lại mã.
Chuỗi Lây nhiễm và Phân giải C2
Chuỗi lây nhiễm bắt đầu ngay khi người dùng truy cập một trang WordPress bị xâm phạm. Một payload JavaScript ẩn, được mã hóa bằng các kỹ thuật Base64 và XOR, sẽ truy vấn blockchain Polygon để lấy địa chỉ máy chủ C2 đang hoạt động. Mô hình cơ sở hạ tầng xoay vòng này cho phép kẻ tấn công thay đổi máy chủ hàng ngày mà không cần sửa đổi hàng nghìn trang web đã bị nhiễm.
Sau khi địa chỉ C2 được phân giải, script sẽ tải lên các yếu tố lừa đảo ClickFix thông qua các điểm cuối API như /cf.js hoặc /api/css.js, tùy thuộc vào cụm đang hoạt động. Yếu tố lừa đảo này hiển thị một màn hình CAPTCHA hoặc Cloudflare Turnstile thuyết phục, yêu cầu người dùng xác minh bằng một phím tắt.
Khai thác Các Nền tảng AI
Kẻ tấn công còn đóng vai các nền tảng AI hợp pháp để mở rộng phạm vi tiếp cận của ErrTraffic. Các trang web độc hại giả mạo Google Antigravity và ChatGPT đã được sử dụng để cung cấp cùng một yếu tố lừa đảo ClickFix, nhắm mục tiêu người dùng đang tìm kiếm phần mềm AI. Các chiến dịch này được cho là lây lan qua quảng cáo độc hại (malvertising), cho phép chúng tiếp cận các nạn nhân hoàn toàn nằm ngoài hệ sinh thái WordPress bị xâm phạm.
Backdoor session-manager.php và Các Chức năng Độc hại
Sau khi giành quyền truy cập vào một trang web WordPress thông qua thông tin đăng nhập quản trị viên bị đánh cắp, kẻ tấn công sẽ triển khai một backdoor PHP có tên session-manager.php bên trong thư mục mu-plugins. WordPress tự động tải plugin này mà không cần kích hoạt thủ công.
Thu thập Thông tin và Tấn công Magecart
Implant này thu thập thông tin đăng nhập của người dùng bằng cách chặn các yêu cầu xác thực. Nó cũng trích xuất dữ liệu đơn hàng WooCommerce theo kiểu tấn công Magecart phía máy chủ và cung cấp một webshell để thực thi mã từ xa.
Để tránh bị phát hiện, backdoor giám sát các chuỗi User-Agent đến để tìm các chữ ký của các công cụ như Wordfence và Nikto. Khi các công cụ này được nhận dạng, backdoor sẽ tạm dừng tất cả các hoạt động độc hại trong ba mươi phút.
Phân phối và Mô hình Kinh doanh
ErrTraffic được bán bởi một tác nhân đe dọa hoạt động dưới tên gọi LenAI trên diễn đàn tội phạm mạng Exploit.IN và thông qua Telegram. Giá thuê đã tăng trong suốt năm 2026. Các gói đăng ký hàng tháng tăng từ 300 USD lên 380 USD, và giá mã nguồn nhảy từ 1.500 USD vào tháng 1 lên 4.500 USD, bao gồm cả các bản cập nhật trọn đời. Mức giá cao này phản ánh cả hiệu quả của khung ErrTraffic lẫn danh tiếng ngày càng tăng của nó trong cộng đồng tội phạm.
Các Chỉ số Khai thác (IoCs) và Khuyến nghị Phòng ngừa
Chỉ số Khai thác (IoCs):
- Lưu lượng truy cập C2 sử dụng Polygon blockchain.
- JavaScript độc hại được mã hóa bằng Base64 và XOR.
- Thực thi lệnh PowerShell sau khi hiển thị màn hình xác minh giả mạo.
- Backdoor PHP
session-manager.phptrong thư mụcmu-plugins. - Các mẫu lừa đảo giả mạo reCAPTCHA và Cloudflare Turnstile.
- Mã độc phân phối bao gồm Vidar, Stealc, Remus, Salat, SmokeLoader, và các công cụ truy cập từ xa khác.
Lưu ý: Địa chỉ IP và tên miền được làm mờ (ví dụ: [.]) để tránh phân giải hoặc tạo siêu liên kết vô tình. Chỉ cần làm mờ trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Khuyến nghị Bảo mật
Các chuyên gia bảo mật khuyến nghị người dùng bật ghi nhật ký PowerShell ScriptBlock để phát hiện các lệnh được giải mã XOR liên quan đến ErrTraffic. Đồng thời, cần giám sát các kết nối RPC blockchain theo sau ngay lập tức là việc thực thi PowerShell như những chỉ báo hành vi có độ tin cậy cao. Kiểm tra định kỳ các thư mục mu-plugins và xoay vòng thông tin đăng nhập WordPress là những bước bảo vệ cơ bản mạnh mẽ.
Việc hiểu rõ các kỹ thuật mà ErrTraffic sử dụng, từ lừa đảo kỹ thuật xã hội đến việc lợi dụng blockchain và các nền tảng phổ biến, là rất quan trọng để tăng cường khả năng phòng thủ trước các mối đe dọa bảo mật mới nổi.
Để có thêm các cập nhật tức thì, hãy theo dõi chúng tôi trên Google News, LinkedIn và X, đồng thời đặt CSN làm Nguồn ưa thích trong Google.
Cyber Security News là một Nền tảng Tin tức Chuyên biệt về Tin tức An ninh mạng, Tin tức Tấn công Mạng, Tin tức Tin tặc và Phân tích Lỗ hổng.
© Bản quyền 2026 – Cyber Security News
