СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
30.12.2025
#ИБ

Коммерциализация социальной инженерии: ClickFix и ErrTraffic как сервисы киберпреступников

Среда киберпреступности значительно смещается в сторону коммерциализированных методов социальной инженерии. Новые инструменты, такие как ClickFix и платформа ErrTraffic (автор — LenAI), демонстрируют переход от сложных технических атак к более доступным для массового использования схемам, где ключевую роль играет обман пользователя.

Коротко о сути угрозы

Modern браузеры усилили функции безопасности и сделали невозможной автоматическую загрузку и воспроизведение без вмешательства пользователя. В ответ злоумышленники переключились на более изощрённую социальную инженерию, вынуждая жертву самостоятельно выполнить вредоносные действия. Инструмент ClickFix—яркий пример такого подхода: он предназначен для того, чтобы обманом заставить пользователей запускать вредоносные скрипты.

Что такое ErrTraffic и как он работает

ErrTraffic — это коммерчески оформленная платформа, разработанная злоумышленником с псевдонимом LenAI. Платформа имеет Панель управления, стилизованную под легальные SaaS-решения, что упрощает использование и распространение среди преступников. Основные приёмы ErrTraffic:

  • модификация DOM целевых веб-страниц для создания обманчивых наложений и призывов к действию;
  • использование специального файла с расширением .js.php, который позволяет выполнять логику на стороне PHP, при этом возвращая клиенту JavaScript, что помогает обходить некоторые механизмы безопасности;
  • «вставить и работать» — механизм, при котором жертву убеждают выполнить цепочку действий: скопировать предоставленный JavaScript и запустить его через PowerShell, что приводит к запуску вредоносной нагрузки;
  • функционирование как система распределения трафика (TDS): ErrTraffic доставляет файлы, адаптированные под операционную систему жертвы, тем самым поддерживая постоянный цикл компрометации.

Что именно похищается и чем это опасно

ErrTraffic собирает не только банковские учетные данные, но и доступы к разным системам управления контентом (CMS). Это расширяет возможности злоумышленников: полученные учетные записи позволяют внедрять дальнейшие вредоносные скрипты, распространять фишинговые страницы и развивать цепочки компрометации. В сумме получается самоподдерживающаяся экосистема для киберпреступников, усиливающая цикл кражи учетных данных и проникновения в инфраструктуру жертв.

Последствия для индустрии и пользователей

  • Снижение порога вхождения для злоумышленников: коммерчески доступные инструменты позволяют менее опытным актёрам проводить эффективные кампании.
  • Увеличение числа атак с участием социальной инженерии — пользователи становятся главным звеном в цепочке компрометации.
  • Рост успешных атак на CMS и учетные записи приводит к масштабным вторичным угрозам: распространение malware, хищение финансовой информации, мошенничество.

Что нужно знать и какие меры принимать

  • Повышать уровень цифровой гигиены пользователей: не выполнять непроверенные скрипты и команды, особенно те, которые требуют вставки и запуска кода через PowerShell или другие оболочки.
  • Жёстко ограничивать выполнение скриптов и команд на рабочих станциях: политика выполнения PowerShell, локальные ограничения и контроль приложений (Application Control).
  • Мониторить активность, связанную с TDS-паттернами и подозрительными ответами вида .js.php, а также анализировать всплески попыток фишинга и наложений в DOM целевых страниц.
  • Поддерживать актуальность браузеров и ОС, внедрять многофакторную аутентификацию для критичных сервисов и систем управления контентом.

«Переход к коммерциализированной социальной инженерии снижает барьер для злоумышленников и делает пользователей главным звеном при инициировании атак», — ключевая логика, заложенная в работе ClickFix и ErrTraffic.

В сумме появление инструментов вроде ClickFix и ErrTraffic сигнализирует о важном сдвиге в ландшафте угроз: теперь атака часто начинается не с уязвимости в софте, а с ошибки пользователя, аккуратно спровоцированной профессионально оформленным вредоносным сервисом.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: