安全情报团队Hudson Rock发布报告指出，名为ErrTraffic或ErrTraffic v2的ClickFix服务在俄语系网络犯罪论坛上公开售卖，整套方案标价800美元。研究人员表示，该工具将原本零散的社会工程诱导流程整合为可重复部署的产品，使攻击者能以较低门槛在被入侵网站上大规模部署诱饵，并根据受害者操作系统投递不同的恶意程序。

ClickFix是近年来迅速增长的社会工程手段，常利用浏览器更新或系统修复等情境，诱导用户在操作系统层面手动执行特定操作，从而使恶意指令以用户身份运行。研究人员指出，现代浏览器已大幅压缩无需用户交互的下载攻击空间，攻击者因此更依赖用户手动完成最后一步操作，以此跨越浏览器与操作系统之间的防护缺口。

ErrTraffic的特色在于将这套诱导流程包装成带有管理后台的服务。推广者以LenAI身份在论坛发布ErrTraffic v2界面的宣传帖文，宣称整套方案为一次性买断，并公开其后台界面采用仪表盘形式，外观类似主流云端软件的管理界面。攻击者可通过该界面管理流量活动、追踪访客互动与下载数据，并设置投递规则。

ErrTraffic主打虚假故障效果，该工具会在网页上制造乱码、视觉噪点等异常状态，使用户误以为网站或浏览器出现严重故障，从而产生紧迫感，并让“修复按钮”看起来是唯一解决方案，显著提升ClickFix诱导成功率。推广者还发布了活动仪表板截图，显示部分诱饵与访客互动的成功率接近60%。

另一个ErrTraffic的重点是跨平台投递能力。该工具会对访客的操作系统进行指纹识别，覆盖Windows、macOS、Android和Linux，并根据环境提供不同的恶意载荷。研究人员还发现，控制台设置中包含针对独联体国家或俄语地区常见的地理封锁排除项，此类设计通常用于降低本地执法风险。研究人员指出，这一细节虽不足以直接指向特定组织，但表明该工具在商业化的同时，也将地下社群的惯用操作模式嵌入了默认配置。

研究人员提醒，窃密程序不仅会窃取金融账户密码，还会收集网站内容管理系统和主机管理界面的账号信息，后续可能被用于在更多网站中注入相同脚本，形成自我扩散的传播循环。也就是说，ClickFix不仅是单点感染手段，还可能成为持续扩大攻击面的工具。