ظهرت أداة جريمة إلكترونية خطيرة تُعرف باسم ErrTraffic في منتديات التهديدات السيبرانية، مما يسهل على المهاجمين خداع المستخدمين لتشغيل برامج ضارة على أجهزتهم. تعمل هذه الأداة على أتمتة ما يسميه خبراء الأمن السيبراني “هجمات ClickFix”، حيث تدفع رسائل الخطأ الوهمية المستخدمين إلى تنفيذ أوامر خبيثة يدويًا.
على عكس الأساليب القديمة التي كانت تحاول تنزيل الملفات سراً، يعمل ClickFix من خلال إنشاء مشاكل وهمية على المواقع الإلكترونية تبدو وكأنها تتطلب من المستخدمين إصلاحها عن طريق تشغيل أكواد محددة. ما يجعل أداة ErrTraffic مثيرة للقلق بشكل خاص هو تصميمها الاحترافي وتكلفتها المنخفضة، مما يسمح حتى للمجرمين الأقل مهارة بشن هجمات فعالة عبر منصات متعددة بما في ذلك ويندوز، وأندرويد، وماك أو إس، ولينكس.
أداة ErrTraffic: التهديد الجديد للأمن السيبراني
شوهدت الأداة لأول مرة في منتديات الجرائم الإلكترونية الناطقة باللغة الروسية في أوائل ديسمبر 2025، وأعلن عنها جهة تهديد تحمل اسم “LenAl”. مقابل 800 دولار فقط، يمكن للمجرمين شراء حزمة ErrTraffic الكاملة، والتي تتضمن لوحة تحكم ونظام نصوص برمجي يقوم بإنشاء أعطال وهمية مقنعة على المواقع الإلكترونية المخترقة.
عندما يصل الزوار إلى موقع مخترق، يرون نصًا معطلاً، وخطوطًا مشوشة، وأخطاء بصرية تجعل الموقع يبدو تالفًا. ثم تظهر نافذة منبثقة تعرض إصلاح المشكلة من خلال تحديث للمتصفح أو تثبيت خط نظام مفقود.
تقنية الحقن عبر جافاسكريبت
خلف الكواليس، تعمل ErrTraffic من خلال حقن بسيط لجافاسكريبت. يمكن للمهاجمين الذين يخترقون موقعًا إلكترونيًا إضافة سطر واحد من التعليمات البرمجية الذي يتصل بلوحة التحكم الخاصة بهم.
يكتشف البرنامج النصي تلقائيًا الجهاز والمتصفح الذي يستخدمه كل زائر، ثم يعرض رسالة خطأ وهمية مخصصة باللغة المناسبة. يحدث الإصابة عندما ينقر المستخدمون على زر الإصلاح، والذي يقوم بنسخ أمر PowerShell إلى الحافظة الخاصة بهم ويطلب منهم لصقه في نظامهم.
تتجاوز هذه التقنية برامج الأمان التقليدية لأن المتصفحات ترى الإجراء كنسخ نص شرعي، وترى أدوات الأمان فتح PowerShell كسلوك طبيعي. كشف تحليل حملات ErrTraffic النشطة عن فعالية صادمة، حيث تظهر بيانات لوحة التحكم من الهجمات الحقيقية معدلات تحويل تقترب من 60 بالمائة، مما يعني أن ما يقرب من ستة من كل عشرة أشخاص يشاهدون رسالة الخطأ الوهمية يقعون في الفخ ويقومون بتثبيت برامج ضارة.
تقوم الأداة بتسليم أي حمولة يقوم المهاجم بتحميلها، وعادة ما تكون أدوات سرقة المعلومات مثل Lumma أو Vidar لأجهزة ويندوز، وبرامج التروجان المصرفية لهواتف أندرويد. تتضمن لوحة التحكم أيضًا تصفية جغرافية، مع حظر مبرمج مسبقًا لروسيا والدول المجاورة لتجنب تطبيق القانون المحلي.
بمجرد الإصابة، يمكن سرقة بيانات اعتماد الضحايا، والتي يستخدمها المجرمون بعد ذلك لاختراق المزيد من المواقع ونشر الهجوم بشكل أوسع، مما يخلق دورة مستمرة من الإصابة.