Grėsmių veikėjas, stebimas kaip DriveSurge, vykdė didelio masto kenkėjiškų programų platinimo kampanijas, naudodamas ClickFix ir FakeUpdates metodus pažeistose svetainėse.
Kibernetinio saugumo bendrovės „SilentPush“ tyrėjų teigimu, „DriveSurge“ kampanijose buvo pažeista tūkstančiai svetainių, siekiant nukreipti lankytojus į kenkėjiškų programų pristatymo infrastruktūrą.
„ClickFix“ yra populiari socialinės inžinerijos taktika, kuri apgaudinėja aukas savo sistemose kopijuoti ir vykdyti kenkėjiškas komandas, o tai dažnai sukelia kenkėjiškų programų užkrėtimą apsimetant, kad išsprendžiama techninė problema.
„FakeUpdates“ atakų metu grėsmės veikėjai vilioja aukas nesąžiningais programinės įrangos atnaujinimo raginimais, dažniausiai apsimetinėdami naršyklės naujiniais, kad apgautų jas atsisiųsti ir įdiegti kenksmingus krovinius.
Anot „Silent Push“ tyrėjų, „DriveSurge“ grėsmės veikėjas pirmiausia veikia kaip pradinis prieigos tarpininkas (IAB), veikiantis pagal mokėjimo už diegimą (PPI) modelį, leidžiantį tęsti atakas.
Pažeistų svetainių lankytojai nukreipiami per srauto paskirstymo sistemą (TDS), žinomą kaip zTDS, kuri juos profiliuoja ir nustato, ar tinkamesnis yra „FakeUpdates“ ar „ClickFix“ masalas.
.jpg)
Šaltinis: Silent Push
zTDS yra atvirojo kodo TDS, kuris egzistuoja mažiausiai nuo 2015 m., o „DriveSurge“ naudoja mažiausiai nuo 2025 m. rugsėjo mėn.
„Naudodama zTDS, DriveSurge užgrobia tūkstančius teisėtų, aukštos reputacijos svetainių ir tyliai nukreipia lankytojus į kenkėjiškas programas, to nežinant svetainių savininkams ar jų lankytojams“, – sako Silent Push.
„FakeUpdates“ jaukuose yra netikrų pranešimų apie „Chrome“, „Firefox“, „Edge“, „Safari“, „Opera“, „Brave“, „Yandex“, „Vivaldi“, „Samsung Internet“ ir „UC Browser“ atnaujinimus, o „ClickFix“ atakos apima „PowerShell“ komandas.
„Silent Push“ ataskaitoje paryškintas atvejis susijęs su netikru „Firefox“ naujinimu, kuris atsisiuntė ZIP archyvą, kuriame yra keli DLL ir kenkėjiška vykdomoji programa, pavadinta „Browser Update.exe“.
Šaltinis: Silent Push
Tyrėjai nustatė aštuonis su kampanija susijusius techninius pirštų atspaudus, kurie padėjo nustatyti DriveSurge infrastruktūrą ir pažeistas svetaines.
Tarp jų yra „JavaScript“ įterpimas po „t.js?site=“.
Atlikusi analizę „Silent Push“ aptiko daugiau nei 80 kenkėjiškų injekcijų domenų ir iš anksto apginkluotų domenų rinkinį, kurie dar nebuvo naudojami atakoms.
Be to, mokslininkai atrado užmaskuotą „JavaScript“ naudingą apkrovą, specialiai sukurtą „MacOS“ stalinių kompiuterių sistemoms nukreipti, perduodamą per patikrinimo tematikos „ClickFix“ atakas, kurios užgrobia iškarpinę, o tai rodo, kad kampanija apima ne tik „Windows“.
Naudotojams rekomenduojama atsisiųsti naršyklės naujinimus tik iš savo programos nustatymų meniu (Apie > Tikrinti, ar nėra naujinimų) ir nevykdyti komandų „Windows“ komandų eilutėje arba terminale, kurių jie visiškai nesupranta.
Automatiniai tikrinimo įrankiai suteikia tikrą vertę, tačiau jie buvo sukurti siekiant atsakyti į vieną klausimą: ar užpuolikas gali judėti tinkle? Jie nebuvo sukurti siekiant patikrinti, ar jūsų valdikliai blokuoja grėsmes, ar suveikia aptikimo taisyklės, ar galioja debesies konfigūracijos.
Šis vadovas apima 6 paviršius, kuriuos iš tikrųjų reikia patvirtinti.
Atsisiųskite dabar
