DriveSurge: IAB автоматизирует доставку ВПО через ClickFix

DriveSurge — это новый и технически сложный злоумышленник, который, по данным отчета, действует как специализированный Initial Access Broker (IAB). Его основная задача — автоматизировать доставку ВПО, используя схемы ClickFix и FakeUpdate, а также инфраструктуру, позволяющую массово перенаправлять пользователей на вредоносные payloads без их ведома.

Исследователи отмечают, что DriveSurge работает по модели Pay-Per-Install (PPI) и компрометирует тысячи легитимных веб-сайтов. Для перехвата трафика злоумышленник активно использует открытую Traffic Distribution System (TDS) под названием zTDS, которая помогает скрытно профилировать посетителей и доставлять вредоносное ПО в зависимости от их параметров.

Основные схемы атак

В отчете выделяются два ключевых метода, которые DriveSurge применяет наиболее часто:

• FakeUpdate — поддельные уведомления об обновлении браузеров, включая Google Chrome и Mozilla Firefox, которые убеждают пользователей загрузить вредоносное ПО под видом обновления;
• ClickFix — социальная инженерия с поддельными сообщениями об ошибках, побуждающими пользователей вводить вредоносные команды в terminal или PowerShell.

В одном из зафиксированных случаев вредоносный домен отображал поддельную страницу обновления Firefox, доставленную со скомпрометированного веб-сайта. В результате пользователь загружал ZIP-архив, содержащий вредоносные DLL-файлы.

Инфраструктура и признаки активности

Специалисты указывают, что операции DriveSurge во многом зависят от вредоносной инфраструктуры, которую можно выявлять по набору технических отпечатков. Эти маркеры позволяют идентифицировать различные шаблоны и конфигурации, характерные для кампаний актера.

Один из примеров такого отпечатка — JavaScript-файлы с уникальными идентификаторами, указывающими на скомпрометированный сайт, с которого извлекаются данные. Кроме того, наблюдаемые закономерности в регистрации доменов свидетельствуют о стремлении злоумышленников к обфускации и сокрытию операций: многие домены создаются с использованием временных почтовых служб.

Техники обфускации и целевая доставка

Поведение вредоносного ПО демонстрирует продвинутые методы обфускации, позволяющие злоумышленникам выполнять команды, ориентированные на конкретные операционные системы, включая macOS, при этом обходя механизмы обнаружения.

Скрипты, внедряемые в системы жертв, содержат логику определения операционной среды. Это обеспечивает контекстную корректность вредоносных команд и повышает вероятность успешного заражения. Отдельно отмечаются компоненты, которые перехватывают активность буфера обмена и манипулируют вводом пользователя для дальнейшей скрытой установки ВПО.

Что это означает для кибербезопасности

Аналитики подчеркивают, что DriveSurge представляет собой не просто очередную кампанию по распространению вредоносного ПО, а устойчивую и адаптивную инфраструктуру, ориентированную на массовое заражение и дальнейшую монетизацию доступа.

Продолжающийся анализ со стороны специалистов по безопасности направлен на отслеживание и противодействие эволюционирующим тактикам DriveSurge.

В дальнейшем приоритетом для исследователей станет выявление новых инфраструктурных элементов, а также возможных связей с другими группами и организациями, сталкивающимися с аналогичными угрозами. Это позволит быстрее обнаруживать кампании DriveSurge и снижать эффективность его схем доставки ВПО.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.