DriveSurge: масштабная кампания по распространению вредоносного ПО через взломанные сайты и поддельные обновления браузеров

information security

Исследователи компании Silent Push обнаружили крупную скоординированную деятельность злоумышленников, которые взломали тысячи легитимных веб-сайтов и используют их для автоматического заражения посетителей вредоносными программами. Атаки оставались незамеченными в течение длительного времени из‑за изощрённой инфраструктуры и широкого охвата. Кампания получила внутреннее название DriveSurge.

Описание

Суть атаки в том, что злоумышленники внедряют скрытый код на скомпрометированные сайты. Этот код бесшумно перенаправляет посетителя через систему распределения трафика, которая называется TDS (Traffic Distribution System). В данном случае применяется открытая версия под названием zTDS, доступная в интернете с 2015 года. TDS анализирует характеристики пользователя и решает, что ему показать. Жертва не подозревает, что её просто перенаправили на вредоносный ресурс, а владельцы взломанных сайтов долгое время не знали о компрометации.

Как только посетитель попадает в руки DriveSurge, ему демонстрируют один из двух сценариев. Первый - FakeUpdates (поддельные уведомления об обновлении браузера). Второй - ClickFix (метод социальной инженерии, при котором жертву просят скопировать в терминал или PowerShell команду, якобы являющуюся "исправлением" ошибки). Оба варианта выглядят абсолютно правдоподобно и используют знакомые элементы интерфейса Google Chrome, Mozilla Firefox, Microsoft Edge, Safari, Opera, Brave, Yandex Browser, Vivaldi, Samsung Internet, UC Browser и других.

При FakeUpdates пользователь видит окно, имитирующее запрос на обновление браузера. Если нажать кнопку "Обновить", на компьютер загружается ZIP‑архив, содержащий набор DLL‑библиотек и исполняемый файл Browser Update.exe, который на самом деле является вредоносной программой. В одном из исследованных эпизодов с сайта jclforwarding[.]com загрузка шла через домен check[.]first-node[.]rocks. Скрипт мог подменять обновления для одиннадцати различных браузеров.

ClickFix работает ещё хитрее. На скомпрометированном сайте появляется фальшивое предупреждение о сбое в работе браузера или об отсутствии важного обновления. Человеку предлагают скопировать короткую команду и вставить её в терминал. На деле эта команда скачивает и запускает вредоносное ПО. В одном случае ClickFix пытался загрузить код с IP‑адреса 91.92.240[.]127, который уже был отмечен в списках индикаторов будущей атаки Silent Push.

Silent Push предполагает, что DriveSurge работает как специализированный брокер начального доступа (IAB), используя модель Pay‑Per‑Install (PPI, оплата за каждую успешную установку). То есть группировка получает деньги за каждое заражённое устройство, а затем продаёт "лиды" другим злоумышленникам. Это превращает кампанию в полноценный бизнес. Крупные объёмы компрометации сайтов позволяют собирать тысячи потенциальных жертв ежедневно.

Исследователи разработали восемь технических отпечатков, которые однозначно идентифицируют инфраструктуру DriveSurge. Среди них - уникальные имена файлов (t.js, ext‑b.js, а также файлы, названные по первым символам SHA256), специфические серверные конфигурации и шаблоны доменов. Например, домены зарегистрированы через регистратора NiceNIC, используют зону .icu, серверы имён ns1.erans[.]ru и автономные системы AS203273 и AS210644. Один из почтовых ящиков, используемых для регистрации, находился на сервисе временной почты tempmail[.]so, но злоумышленники создали долгосрочную учётную запись, что указывает на планомерный подход.

Сам сервер zTDS работал с одного и того же IP‑адреса с сентября 2025 года, что является редкостью для подобных кампаний. Это говорит о том, что хостинг‑провайдер не реагировал на жалобы либо сам предоставлял "пуленепробиваемые" услуги.

При анализе сервера testio[.]ecartdev[.]com, связанного с одним из взломанных сайтов, эксперты нашли панель входа в систему управления и набор инструментов для обфускации JavaScript, а также каталог с вредоносными загрузчиками. Сервер явно использовался для хранения полезной нагрузки и её дальнейшего распространения.

Особого внимания заслуживает версия атаки на пользователей macOS. Исследователи декодировали сильно обфусцированный скрипт, который сначала проверяет, что жертва работает на настольной версии Mac (исключая мобильные устройства). Затем скрипт генерирует команду для скачивания из временной директории, выполнения и немедленного удаления вредоносного файла. Команда маскируется под "код верификации reCAPTCHA" и через захват буфера обмена попадает в терминал, когда пользователь думает, что вводит обычную проверку. После выполнения устанавливается связь с командным сервером на адресе 147[.]45[.]42[.]205:8133. Эксперты нашли несколько вариантов полезной нагрузки с разными SHA256, но все они вели на один и тот же C2 (сервер управления и контроля).

DriveSurge - пример нового поколения массовых атак, в которых злоумышленники комбинируют сложную техническую инфраструктуру, социальную инженерию и бизнес‑модель "услуга за установку". Масштаб кампании, количество взломанных сайтов и незаметность делают её серьёзной угрозой для обычных пользователей и организаций. Silent Punch продолжает мониторинг и обещает публиковать новые находки по мере развития событий.

Индикаторы компрометации

IPv4 Port Combinations

  • 147.45.42.205:8133

URLs

  • http://147.45.42.200/66856ca57ed?force=1
  • http://147.45.42.200/ce3cbfc887?force=1
  • http://147.45.42.200/e97b7f7ccab3a?force=1
  • http://46.226.166.57/66856ca57ed?force=1
  • http://46.226.166.57/ce3cbfc887?force=1
  • http://46.226.166.57/e97b7f7ccab3a?force=1

SHA256

  • 7aa15de93cf85729ddf970e8d7897f69ece3ca29608f73e784a9ba40c9cea18d
  • 8ecc7108cd679316bf5900e84f19b256dc399902cdede646493f502ac872cc1a
  • e1ce4e6222396a58d13dddfe64c1dd21f1632bcbe11d1867d44bab4fc646883a

Комментарии: 0