Хакери преземаат контрола врз илјадници веб-страници за ClickFix и FakeUpdate напади

Актер за сајбер-закани познат под името DriveSurge спроведува големи кампањи за дистрибуција на малициозен софтвер користејќи ги техниките ClickFix и FakeUpdates преку компромитирани веб-страници.

Според истражувачите од компанијата за сајбер-безбедност Silent Push, илјадници веб-страници биле компромитирани во рамките на кампањите на DriveSurge со цел посетителите да бидат пренасочени кон инфраструктура за испорака на малициозен софтвер.

ClickFix е популарна техника на социјален инженеринг која ги измамува жртвите да копираат и извршат злонамерни команди на своите системи. Нападот обично се претставува како решение за технички проблем, но резултира со инфекција со малициозен софтвер.

Кај нападите од типот FakeUpdates, напаѓачите ги мамат жртвите со лажни известувања за ажурирање на софтверот, најчесто претставувајќи се како ажурирања за интернет-прелистувачи. Целта е корисниците доброволно да преземат и инсталираат злонамерни програми.

Според истражувачите на Silent Push, групата DriveSurge првенствено функционира како брокер за почетен пристап (Initial Access Broker – IAB) и работи според моделот „плаќање по инсталација“ (Pay-Per-Install – PPI). Тоа значи дека обезбедува почетен пристап до компромитирани системи, кој подоцна може да биде искористен од други напаѓачи за дополнителни злонамерни активности.

Посетителите на компромитираните веб-страници се пренасочуваат преку Систем за дистрибуција на сообраќај (Traffic Distribution System – TDS) наречен zTDS. Овој систем ги анализира посетителите и одредува дали е посоодветно да им се прикаже мамка од типот FakeUpdates или ClickFix, со што се зголемува веројатноста за успешна компромитација на системот.

zTDS е систем за дистрибуција на сообраќај (Traffic Distribution System – TDS) со отворен код, кој постои најмалку од 2015 година. Групата DriveSurge го користи најмалку од септември 2025 година.

„Со користење на zTDS, DriveSurge презема контрола врз илјадници легитимни веб-страници со висок углед и тивко ги пренасочува посетителите кон малициозен софтвер, без знаење на сопствениците на веб-страниците или на нивните посетители“, наведуваат истражувачите од Silent Push.

Мамките од типот FakeUpdates содржат лажни известувања за ажурирање на популарни интернет-прелистувачи како:

• Google Chrome
• Mozilla Firefox
• Microsoft Edge
• Safari
• Opera
• Brave
• Yandex Browser
• Vivaldi
• Samsung Internet
• UC Browser

Во меѓувреме, нападите од типот ClickFix користат злонамерни PowerShell команди кои жртвата се наведува сама да ги изврши.

Еден пример опишан во извештајот на Silent Push вклучува лажно известување за ажурирање на Mozilla Firefox. Кога корисникот ќе кликне на понуденото „ажурирање“, се презема ZIP-архива која содржи повеќе DLL-датотеки и злонамерна извршна датотека наречена „Browser Update.exe“.

Откако ќе се стартува оваа датотека, таа може да вчита дополнителни малициозни компоненти и да овозможи компромитација на системот, да инсталира друг малициозен софтвер или да обезбеди пристап за понатамошни напади од страна на сајбер-криминалците.

Истражувачите идентификувале осум технички показатели поврзани со кампањата кои помогнале во откривањето на инфраструктурата на DriveSurge и компромитираните веб-страници.

Еден од нив е JavaScript-инјекција која го следи шаблонот „t.js?site=<id>“, каде што <id> е единствена вредност доделена на секоја компромитирана веб-страница.

Преку својата анализа, Silent Push открил повеќе од 80 злонамерни домени за инјектирање, како и група однапред подготвени домени кои сè уште не биле искористени во напади.

Дополнително, истражувачите откриле обфусциран JavaScript-платежен товар специјално дизајниран за таргетирање на десктоп системи со macOS. Тој се испорачува преку ClickFix напади маскирани како проверки за верификација и користи техники за преземање контрола врз clipboard-от, што укажува дека кампањата не е ограничена само на Windows системи.

На корисниците им се препорачува ажурирањата за интернет-прелистувачите да ги преземаат исклучиво преку менито за поставки на самата апликација (About > Check for Updates) и да избегнуваат извршување команди во Windows Command Prompt или Terminal доколку не се целосно сигурни што тие команди прават.

Извори:

• Bleeping Computer – Hackers hijack thousands of sites for ClickFix and FakeUpdate attacks Bleeping Computer