文章总结： ErrTraffic是一款新型自动化ClickFix攻击工具，通过篡改网站DOM制造虚假故障，诱骗用户执行恶意PowerShell指令。该工具售价800美元，能识别目标系统并投放Lumma、Vidar等针对性木马。建议用户警惕非官方故障提示，避免盲目执行终端命令，强化防范此类社会工程学攻击的安全意识。 综合评分： 85 文章分类： 威胁情报,社会工程学,恶意软件,安全意识

【安全圈】新型网络犯罪工具 ErrTraffic 实现 ClickFix 攻击自动化 伪造网站故障诱骗用户中招

安全圈

2026年1月12日 19:01 江苏

关键词

网络犯罪工具

最近，一款名为 ErrTraffic 的新型网络犯罪工具可助力威胁组织实现 ClickFix 攻击的自动化操作，其原理是在已入侵的网站上生成 ” 虚假故障 “，以此诱骗用户下载恶意载荷或执行恶意指令。

该工具宣称攻击转化率最高可达 60%，并能识别目标设备的系统类型，投放与之兼容的恶意载荷。

ClickFix 是一种社会工程学攻击手段，攻击者会编造看似合理的借口（如修复技术故障、验证用户身份等），诱骗目标在自身设备上执行危险命令。

自 2024 年起，这种攻击手段的使用率持续攀升，尤其是在今年，因其能够有效绕过常规安全防护措施，已被网络犯罪分子和有国家背景攻击组织广泛采用。

ClickFix 攻击自动化实现方案

据悉，ErrTraffic 是一款全新的网络犯罪工具，由一名化名 LenAI 的用户在俄语黑客论坛上首次推广。该工具本质上是一套自托管流量分发系统（TDS），专门用于部署 ClickFix 攻击诱饵，采用一次性付费模式，售价为 800 美元。

黑客论坛上推广的恶意服务

安全研究人员对该平台开展了技术分析，发现其配备了操作便捷的控制面板，不仅提供多项配置选项，还支持查看攻击活动的实时数据。

攻击者需预先控制一个可接收受害者流量的网站——或已向某个合法网站植入恶意代码，随后通过嵌入一行 HTML 代码，即可将 ErrTraffic 集成到目标网站中。

主面板

对于不符合攻击条件的普通访客，网站的显示和功能完全正常；而一旦访问者的地理位置与操作系统指纹匹配预设条件，网站的文档对象模型（DOM）就会被篡改，呈现出各种视觉故障。

这些故障表现形式多样，包括文本乱码或无法识别、字体被替换为符号、伪造 Chrome 浏览器更新提示、系统字体缺失报错等。

网站 ” 故障 ” 的假象会营造出问题场景，进而诱导受害者按照提示采取 ” 解决措施 “，例如安装浏览器更新、下载系统字体、在命令提示符中粘贴指定代码等。

一旦受害者执行相关操作，一段 PowerShell 恶意命令就会通过 JavaScript 代码自动复制到剪贴板。受害者运行该命令后，设备便会下载并执行恶意载荷。

ClickFix 交付机制在 ErrTraffic

安全研究员明确指出，该工具针对不同系统投放的恶意载荷各不相同：Windows 系统为 Lumma 和 Vidar 信息窃取器，安卓系统为 Cerberus 木马，macOS 系统为 AMOS（原子窃取器），Linux 系统则为未明确命名的后门程序。

定义每个操作系统的有效负载

ErrTraffic 的使用者可针对不同架构的目标设备自定义恶意载荷，并指定实施攻击的目标国家和地区。值得注意的是，工具内置了对独联体（CIS）国家的访问排除机制，这一特征或可暗示 ErrTraffic 开发者的地域背景。

在绝大多数情况下，攻击者会将窃取到的用户数据在暗网市场出售，或利用这些数据进一步入侵更多网站，再次植入 ErrTraffic 恶意脚本。

END

阅读推荐

【安全圈】BreachForums论坛数据库32.4万个账户泄露

【安全圈】Meta澄清Instagram“密码重置风暴”非发生数据泄露

【安全圈】恶性 Chrome 扩展盗窃用户信息

【安全圈】2025年中国十大宕机事件

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】新型网络犯罪工具 ErrTraffic 实现 ClickFix 攻击自动化 伪造网站故障诱骗用户中招》