03.06.2026
1 хв
84
Дослідники кібербезпеки повідомили про масштабну кампанію угруповання DriveSurge, яке використовує тисячі зламаних сайтів для поширення шкідливого програмного забезпечення через схеми ClickFix і FakeUpdate. За даними компанії Silent Push, скомпрометовані ресурси перенаправляють відвідувачів на спеціальну інфраструктуру доставки шкідливих файлів.
Фахівці вважають, що DriveSurge працює переважно як брокер початкового доступу (Initial Access Broker, IAB). Група використовує модель pay-per-install (PPI), фактично продаючи або надаючи іншим кіберзлочинцям доступ до заражених пристроїв для подальших атак.
У центрі кампанії знаходиться система розподілу трафіку zTDS. Саме вона аналізує відвідувача та вирішує, який сценарій атаки використати: FakeUpdate або ClickFix. За словами дослідників, цей інструмент із відкритим кодом існує щонайменше з 2015 року, а DriveSurge використовує його як мінімум із вересня 2025 року.
У Silent Push зазначають:
«Використовуючи zTDS, DriveSurge захоплює тисячі легітимних вебсайтів з високою репутацією та непомітно перенаправляє відвідувачів на шкідливі програми без відома власників сайтів чи їхніх відвідувачів».
ClickFix сьогодні вважається однією з найпопулярніших технік соціальної інженерії. Користувачу показують повідомлення про нібито технічну проблему, після чого пропонують скопіювати та виконати команду в системі. Насправді ця команда запускає процес зараження пристрою.
FakeUpdate працює дещо інакше. Жертві демонструють підроблене повідомлення про необхідність оновити браузер або інше програмне забезпечення. Після завантаження такого “оновлення” на комп’ютер встановлюється шкідливе ПЗ.
Під час розслідування фахівці виявили приманки для користувачів Chrome, Firefox, Edge, Safari, Opera, Brave, Yandex Browser, Vivaldi, Samsung Internet та UC Browser. Для ClickFix-атак використовувалися команди PowerShell, а серед прикладів FakeUpdate дослідники зафіксували підроблене оновлення Firefox.
У цьому випадку користувач завантажував ZIP-архів, який містив кілька DLL-файлів і шкідливий виконуваний файл під назвою Browser Update.exe.
Під час аналізу кампанії експерти виділили вісім технічних ознак, що дозволили відстежити інфраструктуру DriveSurge та знайти скомпрометовані ресурси. Однією з характерних ознак стала JavaScript-ін’єкція виду t.js?site=<id>, де кожному зараженому сайту присвоювався унікальний ідентифікатор.
Завдяки цьому дослідникам вдалося виявити понад 80 доменів, які вже використовувалися для доставки шкідливого програмного забезпечення. Також було знайдено низку підготовлених доменів, які ще не були задіяні в атаках.
Окрему увагу привернуло те, що кампанія націлена не лише на користувачів Windows. Silent Push виявила обфусковане JavaScript-корисне навантаження для настільних систем macOS. Воно поширювалося через ClickFix-сторінки з фальшивими перевірками та механізмами перехоплення буфера обміну.
Фахівці рекомендують встановлювати оновлення браузерів лише через офіційні механізми самих програм, наприклад через меню «Про програму» та перевірку оновлень. Також користувачам радять ніколи не запускати команди в PowerShell, командному рядку Windows або терміналі, якщо вони не розуміють їхнього призначення.
