De ClickFix à Polygon : le mécanisme de dissimulation du C2 par ErrTraffic

L'intégration blockchain

Le système de distribution de trafic (TDS) d'ErrTraffic intègre la technique EtherHiding pour masquer son infrastructure de commande et contrôle (C2) au sein de la blockchain. Depuis sa version 3, le script injecté sur les sites WordPress interroge un contrat intelligent sur Polygon pour récupérer les serveurs C2, expliquent les équipes de Sekoia.io. Ce mécanisme permet aux attaquants de faire pivoter l'infrastructure sans redéployer de code sur des milliers de sites compromis, prévenant ainsi le blocage par les solutions de sécurité.

L'analyse forensique a permis d'identifier deux clusters distincts d'ErrTraffic. Le cluster « Analytics » utilise un contrat intelligent unique sur Polygon pour récupérer les domaines C2 et distribue exclusivement le cleptogiciel Vidar. Ses communications avec le C2 ne sont pas maquillées. En contraste, le cluster « Beer » interagit avec la blockchain via divers points de terminaison RPC, utilisant plusieurs contrats intelligents pour stocker les domaines C2, majoritairement caractérisés par le TLD .beer. Ce cluster distribue une variété de maliciels (Vidar, Stealc, Remus, Salat) et utilise des techniques d'injection plus complexes, incluant l'encryption RC4 et le maquillage du script.

Attribution et portée des campagnes

L'écosystème ErrTraffic englobe plusieurs campagnes. Le cluster « Beer » est utilisé par de multiples acteurs, tandis que le cluster « Analytics » est lié à une seule campagne. La campagne « Bintang », associée à un contrat intelligent du cluster « Beer », présente des marqueurs opérationnels indonésiens. De plus, le cluster « Beer » est utilisé pour des campagnes de malvertising, notamment des sites imitant des plateformes d'IA comme Google Antigravity ou ChatGPT. Ces sites servent d'appâts pour cibler des développeurs et des chercheurs en IA, visant à voler des jetons API et des identifiants.