Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Kampanie ClickFix i FakeUpdates należą obecnie do najgroźniejszych technik socjotechnicznych wykorzystywanych do dostarczania złośliwego oprogramowania. W obu scenariuszach atakujący próbują skłonić użytkownika do wykonania pozornie uzasadnionej czynności administracyjnej, takiej jak instalacja rzekomej aktualizacji przeglądarki lub uruchomienie komendy naprawczej. Najnowsze ustalenia wskazują, że klaster określany jako DriveSurge zautomatyzował ten model na dużą skalę, wykorzystując przejęte legalne strony internetowe jako punkt wejścia do infekcji.
W skrócie
DriveSurge wykorzystuje tysiące skompromitowanych witryn do przekierowywania odwiedzających na infrastrukturę malware. Kluczowym elementem operacji jest system Traffic Distribution System oparty na zTDS, który profiluje ofiarę i decyduje, czy wyświetlić fałszywą aktualizację przeglądarki, czy scenariusz ClickFix. Kampania obejmuje wiele przeglądarek i nie ogranicza się wyłącznie do systemu Windows, ponieważ zaobserwowano także komponenty przygotowane dla macOS.
- atak zaczyna się od przejętej legalnej witryny,
- użytkownik jest przekierowywany na zaplecze kontrolowane przez napastników,
- dobór przynęty zależy od profilu ofiary i środowiska systemowego,
- celem może być zarówno bezpośrednia infekcja, jak i sprzedaż dostępu kolejnym grupom przestępczym.
Kontekst / historia
Techniki FakeUpdates i ClickFix nie są nowe, ale ich skuteczność stale rośnie, ponieważ bazują na zaufaniu do dobrze znanych komunikatów przeglądarkowych i systemowych. Cyberprzestępcy od lat wykorzystują kompromitowane strony internetowe, szczególnie oparte na popularnych systemach CMS, do serwowania fałszywych komunikatów o aktualizacji. DriveSurge wpisuje się w ten trend, jednak wyróżnia się skalą działania, automatyzacją oraz uporządkowaną infrastrukturą dystrybucyjną.
Z ustaleń analityków wynika, że operator korzysta z otwartoźródłowego zTDS obecnego w obiegu od wielu lat, a aktywność powiązaną z tym klastrem obserwowano co najmniej od września 2025 roku. Taki model działania pokazuje, że przestępcy nie muszą tworzyć wszystkiego od podstaw. Wystarczy połączyć dostępne narzędzia z przejętymi witrynami i skuteczną socjotechniką, aby zbudować wydajny ekosystem infekcji.
Analiza techniczna
Łańcuch ataku rozpoczyna się od kompromitacji legalnej strony WWW. Po wejściu użytkownika na serwis osadzony kod JavaScript uruchamia ukryte przekierowanie do infrastruktury kontrolowanej przez napastnika. Następnie zTDS analizuje cechy ofiary, takie jak przeglądarka, system operacyjny czy inne parametry środowiska, i dobiera najbardziej przekonujący wariant przynęty.
W scenariuszu FakeUpdates ofiara widzi komunikat sugerujący konieczność pilnej aktualizacji przeglądarki. Kampania podszywa się pod wiele popularnych produktów, w tym Chrome, Firefox, Edge, Safari, Opera, Brave, Vivaldi czy Samsung Internet. W jednym z opisanych przypadków fałszywa aktualizacja Firefoksa prowadziła do pobrania archiwum ZIP zawierającego biblioteki DLL oraz złośliwy plik wykonywalny udający instalator aktualizacji.
W wariancie ClickFix użytkownik otrzymuje polecenie skopiowania i uruchomienia komendy w PowerShellu lub terminalu. To szczególnie niebezpieczny model, ponieważ przenosi część wykonania ataku na samą ofiarę. Dzięki temu napastnicy ograniczają potrzebę stosowania klasycznych exploitów, a z perspektywy obronnej złośliwe działanie może wyglądać jak świadoma aktywność lokalnego użytkownika.
Badacze wskazali kilka charakterystycznych artefaktów technicznych, które umożliwiły mapowanie infrastruktury kampanii. Jednym z nich był wzorzec wstrzyknięcia JavaScript odwołujący się do ścieżki typu t.js?site=<id>, gdzie identyfikator przypisywano konkretnej przejętej witrynie. Analiza ujawniła dziesiątki domen wykorzystywanych do złośliwych wstrzyknięć oraz dodatkową pulę domen przygotowanych do przyszłych operacji. Opisano również silnie zaciemniony ładunek JavaScript dla macOS, wykorzystujący motywy weryfikacyjne ClickFix oraz mechanizmy przejmowania zawartości schowka.
W praktyce oznacza to nową generację ataków typu drive-by, w których sama wizyta na zaufanej stronie może uruchomić łańcuch przekierowań. Ostateczna infekcja zależy potem od reakcji użytkownika na starannie przygotowaną przynętę.
Konsekwencje / ryzyko
Najpoważniejsze zagrożenie polega na wykorzystaniu legalnych, często wiarygodnych domen jako nośnika pierwszego kontaktu z ofiarą. Użytkownik nie trafia od razu na podejrzaną stronę, lecz zostaje tam przekierowany pośrednio, często bez wiedzy właściciela skompromitowanego serwisu. To znacząco zwiększa skuteczność kampanii i obniża czujność odbiorców.
Dla organizacji skutki mogą obejmować infekcję stacji roboczych, kradzież danych uwierzytelniających, wdrożenie loaderów lub infostealerów, a następnie dalszą eskalację incydentu. Jeżeli DriveSurge rzeczywiście funkcjonuje jako broker początkowego dostępu, zainfekowane środowisko może zostać później przekazane kolejnym operatorom, w tym grupom ransomware lub podmiotom wyspecjalizowanym w eksfiltracji danych.
Ryzyko dotyczy również właścicieli stron internetowych. Nawet jeśli kompromitacja nie prowadzi bezpośrednio do wycieku danych z serwisu, samo wykorzystanie witryny jako przekaźnika malware może skutkować utratą reputacji, wpisaniem domeny na listy blokujące, spadkiem ruchu oraz koniecznością przeprowadzenia kosztownej analizy powłamaniowej.
Rekomendacje
Organizacje powinny przyjąć zasadę, że komunikaty o aktualizacji wyświetlane z poziomu przypadkowo odwiedzanych stron WWW są potencjalnie złośliwe. Aktualizacje przeglądarek należy wykonywać wyłącznie z natywnych mechanizmów aplikacji lub zaufanych kanałów dystrybucji.
- nie kopiować i nie uruchamiać poleceń z komunikatów typu „fix”, „verification” lub „update”,
- nie pobierać aktualizacji przeglądarek z wyskakujących okien na stronach internetowych,
- zgłaszać nietypowe przekierowania, fałszywe alerty i prośby o uruchomienie PowerShella lub terminala,
- monitorować ruch wychodzący pod kątem nietypowych łańcuchów przekierowań TDS,
- wykrywać uruchomienia interpreterów powłoki inicjowane przez przeglądarki lub ich procesy potomne,
- analizować własne serwisy pod kątem nieautoryzowanych wstrzyknięć JavaScript,
- stosować EDR z korelacją zdarzeń obejmujących schowek, pobrania archiwów i uruchomienia poleceń,
- objąć monitoringiem integralność plików motywów, wtyczek i szablonów CMS, szczególnie w środowiskach WordPress.
Administratorzy witryn powinni dodatkowo aktualizować CMS i rozszerzenia, wymuszać MFA dla paneli administracyjnych, ograniczać możliwość modyfikacji plików z poziomu panelu, skanować kod pod kątem obfuskacji JavaScript oraz weryfikować wszystkie zewnętrzne skrypty ładowane w szablonach.
Podsumowanie
DriveSurge pokazuje, jak skuteczne staje się połączenie kompromitacji legalnych witryn z mechanizmami TDS oraz socjotechniką ClickFix i FakeUpdates. To atak, który nie opiera się wyłącznie na luce technicznej, ale przede wszystkim na manipulacji użytkownikiem i wykorzystaniu zaufania do znanych stron oraz komunikatów aktualizacyjnych. Dla obrońców kluczowe pozostaje równoczesne zabezpieczenie stacji końcowych, monitorowanie nietypowych uruchomień powłoki i regularna kontrola integralności własnych serwisów WWW.
Źródła
- https://www.bleepingcomputer.com/news/security/hackers-hijack-thousands-of-sites-for-clickfix-and-fakeupdate-attacks/
- https://www.silentpush.com/blog/drivesurge/