Нова мащабна операция за разпространение на зловреден софтуер, проследявана под името DriveSurge, използва компрометирани уебсайтове, за да пренасочва посетители към инфраструктура за заразяване чрез техниките ClickFix и FakeUpdates. Според изследователи от Silent Push кампанията засяга хиляди легитимни сайтове с добра репутация, чиито собственици често дори не подозират, че страниците им се използват за кибератаки.
Как работи схемата
DriveSurge действа основно като брокер за първоначален достъп (Initial Access Broker – IAB) по модела „pay-per-install“ (PPI). Това означава, че групата не винаги извършва крайната атака сама, а предоставя достъп или заразени системи на други престъпни групи.
Когато потребител посети компрометиран сайт, той бива пренасочен чрез система за разпределяне на трафик (Traffic Distribution System – TDS), известна като zTDS. Платформата анализира посетителя и решава коя измамна примамка да използва – фалшив софтуерен ъпдейт или ClickFix сценарий.
Изследователите посочват, че zTDS съществува поне от 2015 г., а DriveSurge я използва активно поне от септември 2025 г.
ClickFix – социално инженерство чрез фалшиви инструкции
Техниката ClickFix става все по-популярна сред киберпрестъпниците. При нея жертвата вижда предупреждение за предполагаем проблем със системата или браузъра и получава инструкции да копира и изпълни команда в PowerShell или Windows Command Prompt.
На практика потребителят сам стартира зловредния код, вярвайки, че решава технически проблем.
В разглежданата кампания ClickFix страниците използват PowerShell команди за изтегляне и стартиране на допълнителен зловреден софтуер.
FakeUpdates примамки имитират популярни браузъри
Другият основен метод са т.нар. FakeUpdates атаки – фалшиви известия за обновяване на браузър.
DriveSurge имитира обновления за:
- Google Chrome
- Mozilla Firefox
- Microsoft Edge
- Safari
- Opera
- Brave
- Yandex Browser
- Vivaldi
- Samsung Internet
- UC Browser
В един от анализираните случаи фалшив Firefox ъпдейт изтегля ZIP архив със зловредни DLL файлове и изпълним файл с име Browser Update.exe.
Засегнати са и macOS системи
Изследователите откриват и силно обфускиран JavaScript код, насочен към macOS устройства. Кампанията използва ClickFix техники с „verification“ тематика, които манипулират съдържанието на клипборда и подканват потребителя да изпълни команди в Terminal.
Това показва, че операцията не е ограничена само до Windows среди.
Как DriveSurge прикрива инфраструктурата си
Silent Push идентифицира осем технически характеристики, свързани с инфраструктурата на DriveSurge. Сред тях е специфичен JavaScript инжекционен шаблон:
t.js?site=<id>
Уникалният идентификатор позволява на атакуващите да проследяват отделните компрометирани сайтове.
Според анализа са открити над 80 злонамерени домейна, използвани в кампанията, както и допълнителни подготвени домейни, които все още не са били активирани в атаки.
Защо тази кампания е особено опасна
Особено тревожен е фактът, че атаките се извършват чрез легитимни и често посещавани сайтове. Това значително увеличава доверието на жертвите и прави филтрирането по-трудно.
Комбинацията от:
- компрометирани сайтове,
- динамично пренасочване,
- социално инженерство,
- фалшиви браузърни обновления,
- и PowerShell базирани инфекции
превръща DriveSurge в изключително ефективна платформа за масово разпространение на зловреден софтуер.
Как потребителите могат да се защитят
Специалистите препоръчват:
- браузърите да се обновяват единствено чрез вградените менюта „About“ или „Check for Updates“;
- да не се изпълняват PowerShell или Terminal команди, копирани от уебсайтове;
- да се използва актуален софтуер за защита;
- организациите да следят за необичайни JavaScript инжекции в сайтовете си;
- да се активира мониторинг за подозрителни пренасочвания и TDS активност.
Кампанията показва колко бързо ClickFix техниките се превръщат в една от най-ефективните форми на социално инженерство в съвременните кибератаки.
