Um threat actor identificado como DriveSurge vem conduzindo campanhas de distribuição de malware em larga escala usando as técnicas ClickFix e FakeUpdates em sites comprometidos.
Segundo pesquisadores da SilentPush, milhares de sites foram comprometidos nas campanhas do DriveSurge para redirecionar visitantes para uma infraestrutura de entrega de malware.
O ClickFix é uma técnica popular de engenharia social que engana vítimas para que copiem e executem comandos maliciosos em seus sistemas, muitas vezes resultando em infecções por malware sob o pretexto de corrigir um problema técnico.
Nos ataques FakeUpdates, os threat actors atraem as vítimas com falsas mensagens de atualização de software, geralmente imitando atualizações de navegadores, para levá-las a baixar e instalar payloads maliciosos.
De acordo com os pesquisadores da SilentPush, o threat actor DriveSurge atua principalmente como um intermediário de acesso inicial, em um modelo de pagamento por instalação, permitindo ataques subsequentes.
Os visitantes dos sites comprometidos são redirecionados por meio de um Sistema de Distribuição de Tráfego, conhecido como zTDS, que analisa o perfil dos usuários e determina se uma isca FakeUpdates ou ClickFix é mais adequada.
O zTDS é um TDS open source que existe pelo menos desde 2015 e vem sendo usado pelo DriveSurge desde pelo menos setembro de 2025.
“Usando o zTDS, o DriveSurge sequestra milhares de sites legítimos e com boa reputação e redireciona silenciosamente os visitantes para malware, sem que os proprietários dos sites ou seus visitantes percebam”, afirma a SilentPush.
As iscas FakeUpdates exibem avisos falsos de atualização para Chrome, Firefox, Edge, Safari, Opera, Brave, Yandex, Vivaldi, Samsung Internet e UC Browser, enquanto os ataques ClickFix envolvem comandos do PowerShell.
Um caso destacado no relatório da SilentPush envolve uma falsa atualização do Firefox que baixava um arquivo ZIP com várias DLLs e um executável malicioso chamado “Browser Update.exe”.
Os pesquisadores identificaram oito impressões técnicas ligadas à campanha, o que ajudou a localizar a infraestrutura do DriveSurge e os sites comprometidos.
Entre elas está uma injeção em JavaScript seguindo o padrão “t.js?site=<id>”, em que <id> é um valor exclusivo atribuído a cada site comprometido.
Após a análise, a SilentPush descobriu mais de 80 domínios maliciosos de injeção e um conjunto de domínios preparados para uso que ainda não haviam sido empregados nos ataques.
Além disso, os pesquisadores encontraram um payload ofuscado em JavaScript desenvolvido especificamente para atingir sistemas desktop macOS, entregue por meio de ataques ClickFix com temática de verificação que sequestram a área de transferência, o que indica que a campanha vai além do Windows.
A recomendação aos usuários é baixar atualizações do navegador apenas pelo menu de configurações do próprio aplicativo, em “Sobre” > “Verificar atualizações”, e evitar executar comandos no Prompt de Comando do Windows ou no Terminal sem compreendê-los totalmente.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...