Ruse du « navigateur cassé » : Plongée dans ErrTraffic, le moteur du cybercrime qui alimente les arnaques ClickFix

Tout commence par un scintillement, une police illisible ou un message d’erreur soudain sur un site de confiance. Avant même de vous en rendre compte, vous suivez des instructions urgentes pour coller des commandes ou télécharger un « correctif » - mais au lieu de cela, vous ouvrez la porte aux cybercriminels. Bienvenue à l’ère de ClickFix, désormais dopée par un nouveau service obscur appelé ErrTraffic.

Repéré pour la première fois sur des forums clandestins plus tôt ce mois-ci, ErrTraffic est présenté comme un système de distribution de trafic (TDS) auto-hébergé permettant aux attaquants de déployer des scénarios convaincants de « navigateur cassé ». Une fois qu’un criminel contrôle ou infecte un site web, il lui suffit d’ajouter une ligne de code pour activer l’arsenal de fausses pannes d’ErrTraffic - texte corrompu, polices manquantes ou fausses alertes de mise à jour Chrome.

Contrairement aux pop-ups grossiers d’autrefois, ces défaillances sont ciblées grâce à la géolocalisation et au fingerprinting des appareils. Les visiteurs ordinaires ne voient rien d’anormal, mais les victimes sélectionnées se voient présenter une page qui semble dysfonctionner, les incitant à entreprendre des « actions correctives ». Le piège ? Le correctif est l’infection. Les victimes sont trompées pour télécharger des fichiers, installer de fausses mises à jour ou coller des commandes dans le terminal de leur système - autant d’actions qui libèrent des malwares adaptés à leur appareil.

Selon Hudson Rock, une société de recherche en sécurité ayant analysé ErrTraffic, la plateforme est d’une facilité d’utilisation inquiétante. Son tableau de bord offre des statistiques de campagne en temps réel et des options de ciblage précises. Les attaquants peuvent spécifier quelle charge malveillante livrer sur Windows, macOS, Android ou Linux, et même restreindre les attaques à certains pays. À noter : le logiciel exclut les pays de la Communauté des États Indépendants (CEI) - une marque de fabrique des groupes cybercriminels russophones.

Les charges malveillantes ne sont pas moins dangereuses : les victimes sous Windows peuvent être infectées par les voleurs d’informations Lumma ou Vidar, les utilisateurs Android par Cerberus, et les utilisateurs Mac par le tristement célèbre Atomic Stealer. Une fois les données dérobées, elles sont souvent revendues sur les marchés du darknet ou utilisées pour compromettre d’autres sites, perpétuant ainsi le cycle d’attaque.

ClickFix, la technique d’ingénierie sociale sous-jacente, a gagné en popularité depuis 2024, prisée tant par les criminels que par les acteurs étatiques pour sa capacité à contourner les barrières de sécurité traditionnelles. En transformant les bugs quotidiens des sites web en armes, ErrTraffic abaisse le seuil d’entrée pour les attaquants potentiels et augmente les risques pour tous les autres.

À mesure que de plus en plus de cybercriminels adoptent des outils comme ErrTraffic, la frontière entre panne technique et attaque ciblée devient floue. La prochaine fois que votre navigateur « tombe en panne », le vrai bug pourrait bien être humain : croire que le correctif est ce qu’il prétend être.

WIKICROOK

• ClickFix : ClickFix est une arnaque où les utilisateurs sont trompés pour copier-coller du code malveillant, souvent après un faux CAPTCHA, mettant en danger leurs comptes et leurs données.
• Traffic Distribution System (TDS) : Un système de distribution de trafic (TDS) redirige les internautes vers différents sites, souvent utilisé par les cybercriminels pour envoyer les victimes vers des contenus malveillants ou frauduleux.
• Info : Un voleur d’informations est un malware qui collecte secrètement des données sensibles comme des mots de passe et des informations financières sur les appareils infectés, puis les envoie aux cybercriminels.
• Géolocalisation : La géolocalisation est le processus permettant de déterminer l’emplacement physique d’un appareil ou d’une personne à l’aide de données numériques telles que le GPS, le Wi-Fi ou les adresses IP.
• Charge utile : Une charge utile est la partie nuisible d’une cyberattaque, comme un virus ou un spyware, livrée via des emails ou fichiers malveillants lorsqu’une victime interagit avec eux.