Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
DriveSurge to nazwa rozbudowanej operacji cyberprzestępczej, w której atakujący wykorzystują przejęte, legalnie działające strony internetowe do kierowania użytkowników na fałszywe komunikaty aktualizacji przeglądarki oraz scenariusze typu ClickFix. Z perspektywy bezpieczeństwa jest to szczególnie groźny model działania, ponieważ łączy kompromitację zaufanych witryn, pośrednią infrastrukturę dystrybucji ruchu i socjotechnikę nakłaniającą ofiarę do samodzielnego uruchomienia złośliwego kodu.
To podejście pokazuje wyraźne odejście od klasycznych ataków opartych wyłącznie na exploitach. Coraz częściej przestępcy nie muszą przełamywać zabezpieczeń technicznych przeglądarki, jeśli potrafią skutecznie zmanipulować użytkownika i skłonić go do wykonania szkodliwego działania we własnym systemie.
W skrócie
DriveSurge działa w modelu Initial Access Broker, czyli dostawcy dostępu początkowego, którego celem jest masowe pozyskiwanie zainfekowanych hostów lub wiarygodnych ścieżek wejścia do organizacji. Kampania wykorzystuje tysiące skompromitowanych stron o dobrej reputacji, aby przekierowywać odwiedzających do infrastruktury obsługującej fałszywe aktualizacje i komunikaty ClickFix.
- Wykorzystywane są przejęte witryny internetowe o wysokim poziomie zaufania.
- Ruch ofiar jest profilowany przez system Traffic Distribution System.
- Kampania obejmuje użytkowników Windows i macOS.
- Atak bazuje głównie na socjotechnice, a nie na klasycznych exploitach przeglądarkowych.
- Uzyskany dostęp może być dalej sprzedawany innym grupom przestępczym.
Kontekst / historia
Badacze opisują DriveSurge jako dojrzały ekosystem przestępczy, który mógł funkcjonować przez dłuższy czas bez większego rozgłosu. Kampania wpisuje się w dwa wyraźne trendy obserwowane na rynku zagrożeń: wzrost popularności technik ClickFix oraz rozwój modelu sprzedaży dostępu początkowego. W praktyce oznacza to, że operatorzy kampanii nie muszą samodzielnie realizować całego łańcucha ataku na organizację. Wystarczy, że dostarczą ofiary lub punkty wejścia, które następnie mogą zostać wykorzystane przez innych aktorów.
Istotnym elementem szerszego kontekstu jest również rosnąca liczba kampanii opartych na fałszywych aktualizacjach oprogramowania. Zamiast szukać podatności w przeglądarce, przestępcy podszywają się pod rutynowe, wiarygodnie wyglądające procesy bezpieczeństwa. W efekcie ryzyko nie wynika wyłącznie z błędów technicznych, ale z połączenia manipulacji psychologicznej i dobrze zaprojektowanej infrastruktury ataku.
Analiza techniczna
Rdzeniem operacji jest system TDS, czyli Traffic Distribution System, w tym konkretnym przypadku opisywany jako wariant zTDS. Mechanizm działa wieloetapowo. Najpierw złośliwy kod umieszczony na przejętej stronie ładuje dodatkowy zasób JavaScript i przekierowuje użytkownika do infrastruktury pośredniczącej. Tam ofiara jest profilowana na podstawie systemu operacyjnego, cech przeglądarki i innych danych telemetrycznych.
Na podstawie zebranych informacji serwer decyduje, jaki scenariusz wyświetlić. Jednym z nich jest FakeUpdate, czyli fałszywa aktualizacja przeglądarki. Użytkownik widzi komunikat przypominający legalne okno aktualizacji, a po interakcji pobiera archiwum lub plik wykonywalny podszywający się pod aktualizację, który faktycznie zawiera malware.
Drugim wariantem jest ClickFix. W tym scenariuszu ofiara otrzymuje komunikat błędu lub ostrzeżenie o problemie technicznym, a następnie instrukcję skopiowania i uruchomienia określonego polecenia w PowerShell, terminalu lub innej powłoce systemowej. Jest to szczególnie niebezpieczne, ponieważ część zabezpieczeń przeglądarki i systemu zostaje w praktyce ominięta przez ręczne działanie użytkownika, które może wyglądać jak normalna aktywność administracyjna.
Badacze wskazują także na rozbudowaną i odporną infrastrukturę kampanii. Obejmuje ona repozytoria ładunków, serwery etapujące, domeny zapasowe oraz mechanizmy utrzymania ciągłości działania. W analizowanych elementach pojawiały się obfuskacja JavaScript, kodowanie Base64, dynamiczne budowanie adresów URL i logika awaryjnego przełączania. To sugeruje wysoki poziom organizacji oraz przygotowanie infrastruktury do działania na dużą skalę.
Ważnym aspektem jest również różnicowanie ścieżek infekcji zależnie od platformy. Kampania nie ogranicza się wyłącznie do użytkowników Windows, ale obejmuje też środowiska macOS. Dla wielu organizacji oznacza to konieczność objęcia monitoringiem i politykami bezpieczeństwa także urządzeń, które bywały wcześniej traktowane jako mniej narażone.
Konsekwencje / ryzyko
Największe zagrożenie w przypadku DriveSurge wynika z wykorzystania legalnych, zaufanych witryn jako punktu wejścia. Użytkownik nie trafia od razu na podejrzaną domenę, lecz rozpoczyna interakcję od strony, którą zna lub której ufa. To znacząco obniża czujność i zwiększa skuteczność socjotechniki.
Dla organizacji ryzyko ma kilka poziomów. Infekcja może rozpocząć się od zwykłej wizyty pracownika na stronie internetowej, bez otwierania załącznika i bez kliknięcia w wiadomość phishingową. Co więcej, model Initial Access Broker sprawia, że uzyskany dostęp może zostać przekazany dalej innym grupom, w tym operatorom ransomware, zespołom specjalizującym się w kradzieży danych lub aktorom prowadzącym dalszy ruch boczny w sieci ofiary.
Istotnym problemem jest także trudność analizy incydentu. Jeśli użytkownik sam uruchamia polecenie w terminalu lub pobiera plik podszywający się pod aktualizację, część działań może wyglądać jak legalna aktywność. To utrudnia szybkie odróżnienie incydentu bezpieczeństwa od zwykłego błędu użytkownika czy nietypowej operacji administracyjnej.
Ryzyko ponoszą również właściciele skompromitowanych stron. Ich serwisy mogą stać się elementem łańcucha dostaw malware, co prowadzi do strat reputacyjnych, kosztów reakcji na incydent i potencjalnych konsekwencji prawnych. Kampania pokazuje przy tym, że dobra reputacja domeny nie gwarantuje bezpieczeństwa odwiedzających.
Rekomendacje
Organizacje powinny potraktować DriveSurge jako sygnał do wzmocnienia zarówno warstwy technicznej, jak i odporności użytkowników na manipulację. Skuteczna obrona wymaga połączenia monitoringu ruchu, detekcji aktywności endpointów i regularnej kontroli własnych serwisów internetowych.
- Monitorować ruch wychodzący do nowo zarejestrowanych lub niskoreputacyjnych domen, szczególnie po odwiedzeniu zewnętrznych stron WWW.
- Wykrywać nietypowe uruchomienia PowerShell, Terminala i innych interpreterów poleceń powiązane z aktywnością przeglądarki.
- Blokować pobieranie plików wykonywalnych i archiwów z podejrzanych stron podszywających się pod aktualizacje.
- Regularnie skanować własne serwisy pod kątem nieautoryzowanych wstrzyknięć JavaScript i nieznanych zasobów zewnętrznych.
- Rozszerzyć polityki EDR i XDR na stacje macOS, a nie tylko na środowiska Windows.
- Szkolić użytkowników, aby nie kopiowali i nie uruchamiali poleceń wyświetlanych przez strony internetowe.
- Uzupełniać detekcję o feedy threat intelligence oraz wskaźniki kompromitacji związane z TDS i infrastrukturą zapasową.
- Wdrożyć hardening i ciągły monitoring aplikacji webowych, aby ograniczyć ryzyko wstrzyknięcia złośliwego kodu.
Dla zespołów SOC szczególnie cenne będzie korelowanie zdarzeń webowych z telemetrią endpointów. Samo odwiedzenie skompromitowanej strony może nie być jeszcze jednoznacznym wskaźnikiem incydentu, ale połączenie go z pobraniem archiwum, uruchomieniem powłoki systemowej lub komunikacją z niestandardową infrastrukturą znacząco zwiększa pewność detekcji.
Podsumowanie
DriveSurge jest przykładem nowoczesnej kampanii malware, która łączy skalowalną automatyzację, przejęte zaufane witryny i skuteczną socjotechnikę. Połączenie systemu TDS, fałszywych aktualizacji oraz technik ClickFix tworzy model ataku trudny do wykrycia i bardzo efektywny operacyjnie.
Dla obrońców oznacza to konieczność równoczesnego zabezpieczania aplikacji webowych, monitorowania stacji końcowych i wzmacniania świadomości użytkowników. DriveSurge nie jest jedynie pojedynczą kampanią, ale reprezentuje szerszy trend industrializacji dostępu początkowego w cyberprzestępczości.