黑客劫持数千网站实施 ClickFix 和 FakeUpdate 攻击
- 浏览次数 337
- 喜欢 0
一个被追踪为 DriveSurge 的威胁行为者,一直在利用 ClickFix 和 FakeUpdate 技术,对被入侵的网站开展大规模恶意软件分发活动。
据网络安全公司 SilentPush 的研究人员称,在 DriveSurge 发起的活动中,数千个网站遭入侵,访问者被重定向到恶意软件分发基础设施。
ClickFix 是一种常见的社会工程策略,诱骗受害者在其系统上复制并执行恶意命令,通常以解决技术问题为幌子,最终导致恶意软件感染。
在 FakeUpdate 攻击中,威胁行为者用虚假的软件更新提示引诱受害者,通常伪装成浏览器更新,诱使他们下载并安装恶意有效载荷。
SilentPush 的研究人员表示,DriveSurge 威胁行为者主要充当初始访问代理(IAB),采用按安装付费(PPI)模式运作,为后续攻击创造条件。
被入侵网站的访问者会通过一个名为 zTDS 的流量分配系统(TDS)进行重定向,该系统会对访问者进行分析,判断是使用 FakeUpdate 还是 ClickFix 诱饵更为合适。
zTDS 是一个开源的流量分配系统,至少从 2015 年就已存在,而 DriveSurge 至少从 2025 年 9 月起就在使用它。
SilentPush 称:“DriveSurge 利用 zTDS 劫持了数千个合法且声誉良好的网站,并在网站所有者和访问者毫不知情的情况下,将访问者悄悄重定向到恶意软件。”
FakeUpdate 诱饵包含针对 Chrome、Firefox、Edge、Safari、Opera、Brave、Yandex、Vivaldi、三星浏览器和 UC 浏览器的虚假更新通知,而 ClickFix 攻击则涉及 PowerShell 命令。
SilentPush 报告中重点提及的一个案例是,一个虚假的 Firefox 更新会下载一个 ZIP 压缩包,其中包含多个 DLL 文件以及一个名为 “Browser Update.exe” 的恶意可执行文件。
研究人员识别出与该活动相关的 8 个技术特征,这些特征有助于识别 DriveSurge 的基础设施和被入侵的网站。
其中包括遵循 “t.js?site=<id>” 模式的 JavaScript 注入,其中<id>是分配给每个被入侵网站的唯一值。
通过分析,SilentPush 发现了 80 多个恶意注入域名,以及一组尚未在攻击中使用的预先准备好的域名。
此外,研究人员还发现了一种经过混淆处理的 JavaScript 有效载荷,专门针对 macOS 桌面系统,通过以验证为主题的 ClickFix 攻击进行传播,这种攻击会劫持剪贴板,这表明该活动并不局限于 Windows 系统。
建议用户仅从应用程序的设置菜单(关于 > 检查更新)下载浏览器更新,并避免在 Windows 命令提示符或终端中执行他们不完全理解的命令。