Gruparea DriveSurge compromite mii de site-uri și redirecționează vizitatorii către malware prin ClickFix și FakeUpdates - SilentPush indică folosirea sistemului zTDS și un model „pay-per-install”

Compromiterea a mii de site-uri legitime devine o rampă de lansare pentru malware , într-o campanie care folosește tehnici de inginerie socială precum ClickFix și FakeUpdates, potrivit BleepingComputer . Miza pentru companii este una operațională: traficul „curat” către site-uri cu reputație bună poate fi transformat, fără știrea proprietarilor, într-un canal de infectare a utilizatorilor și, implicit, într-un risc de incidente și costuri de remediere. Actorul de amenințare, urmărit sub numele DriveSurge , ar fi derulat campanii de distribuție de malware prin redirecționarea vizitatorilor de pe site-uri compromise către infrastructură dedicată livrării de programe malițioase, conform cercetătorilor de la compania de securitate cibernetică SilentPush . Cum funcționează schema: ClickFix și „actualizări” false În atacurile de tip ClickFix, victimele sunt păcălite să copieze și să execute comenzi malițioase pe propriile sisteme, de regulă sub pretextul rezolvării unei probleme tehnice. În paralel, FakeUpdates se bazează pe ferestre frauduloase de actualizare software (de obicei imitând actualizări de browser) pentru a convinge utilizatorii să descarce și să instaleze „actualizarea”, care este de fapt un program malițios. SilentPush susține că DriveSurge funcționează în principal ca „broker de acces inițial” (IAB – intermediar care obține acces inițial în sisteme și îl monetizează), pe un model „plată per instalare” (PPI – plata se face pentru fiecare instalare reușită), facilitând atacuri ulterioare. Redirecționare printr-un sistem de distribuție a traficului Vizitatorii site-urilor compromise sunt trecuți printr-un „sistem de distribuție a traficului” (TDS – infrastructură care direcționează utilizatorii către destinații diferite în funcție de profil), numit zTDS. Acesta „profilează” utilizatorii și decide dacă este mai potrivită o momeală FakeUpdates sau ClickFix. zTDS este descris ca un TDS open-source existent cel puțin din 2015 și folosit de DriveSurge cel puțin din septembrie 2025. În evaluarea SilentPush, mecanismul permite deturnarea „tăcută” a vizitatorilor către malware, fără ca proprietarii site-urilor sau utilizatorii să își dea seama. Indicatori tehnici și extinderea dincolo de Windows Cercetătorii spun că au identificat opt „amprente” tehnice asociate campaniei, folosite pentru a lega infrastructura DriveSurge de site-urile compromise. Un exemplu menționat este o injecție JavaScript cu tiparul t.js?site= , unde este o valoare unică alocată fiecărui site compromis. În plus, analiza ar fi scos la iveală peste 80 de domenii de injecție malițioasă și un set de domenii „pre-înarmate” care nu fuseseră încă folosite în atacuri. SilentPush mai notează și existența unui payload JavaScript ofuscat care ar viza sisteme macOS, livrat prin atacuri ClickFix cu tematică de „verificare”, care ar deturna clipboard-ul — un indiciu că operațiunea nu se limitează la Windows. Recomandări pentru utilizatori: de unde se fac actualizările În contextul acestor campanii, utilizatorilor li se recomandă să instaleze actualizările de browser doar din meniul aplicației (de tipul About > Check for Updates) și să evite rularea de comenzi în Command Prompt (Windows) sau Terminal (macOS) pe care nu le înțeleg complet. [...]