Aktor ancaman yang dilacak sebagai DriveSurge telah mengoperasikan kampanye distribusi malware berskala besar menggunakan teknik ClickFix dan FakeUpdates di situs yang disusupi.
Ribuan situs web telah disusupi dalam kampanye DriveSurge untuk mengarahkan pengunjung ke infrastruktur pengiriman malware, menurut peneliti di perusahaan keamanan siber SilentPush.
ClickFix adalah taktik rekayasa sosial populer yang menipu korbannya agar menyalin dan menjalankan perintah jahat di sistem mereka, yang sering kali mengakibatkan infeksi malware dengan dalih menyelesaikan masalah teknis.
Dalam serangan FakeUpdates, pelaku ancaman membujuk korbannya dengan permintaan pembaruan perangkat lunak palsu, biasanya meniru pembaruan browser, untuk mengelabui mereka agar mengunduh dan memasang muatan berbahaya.
Menurut peneliti Silent Push, pelaku ancaman DriveSurge terutama berfungsi sebagai broker akses awal (IAB) yang beroperasi pada model bayar-per-instal (PPI), sehingga memungkinkan serangan lanjutan.
Pengunjung situs web yang disusupi dialihkan melalui Sistem Distribusi Lalu Lintas (TDS) yang dikenal sebagai zTDS, yang membuat profil situs tersebut dan menentukan apakah umpan FakeUpdates atau ClickFix lebih tepat.
.jpg)
Sumber: Dorongan Senyap
zTDS adalah TDS sumber terbuka yang telah ada setidaknya sejak tahun 2015 dan telah digunakan DriveSurge setidaknya sejak September 2025.
“Dengan menggunakan zTDS, DriveSurge membajak ribuan situs web sah dan bereputasi tinggi dan secara diam-diam mengarahkan pengunjung ke malware, tanpa sepengetahuan pemilik situs atau pengunjungnya,” Kata Dorong Senyap.
Umpan FakeUpdates berisi pemberitahuan pembaruan palsu untuk Chrome, Firefox, Edge, Safari, Opera, Brave, Yandex, Vivaldi, Samsung Internet, dan UC Browser, sedangkan serangan ClickFix melibatkan perintah PowerShell.
Kasus yang disorot dalam laporan Silent Push melibatkan pembaruan Firefox palsu yang mengunduh arsip ZIP yang berisi banyak DLL dan file executable berbahaya bernama ‘Browser Update.exe.’
Sumber: Dorongan Senyap
Para peneliti mengidentifikasi delapan sidik jari teknis yang terkait dengan kampanye yang membantu mengidentifikasi infrastruktur DriveSurge dan situs web yang disusupi.
Diantaranya adalah injeksi JavaScript mengikuti ‘t.js?site=‘ pola, dimana < id> adalah nilai unik yang ditetapkan untuk setiap situs web yang disusupi.
Melalui analisis, Silent Push menemukan lebih dari 80 domain injeksi berbahaya dan serangkaian domain pra-persenjataan yang belum digunakan dalam serangan.
Selain itu, para peneliti menemukan muatan JavaScript yang dikaburkan dan dirancang khusus untuk menargetkan sistem desktop macOS, dikirimkan melalui serangan ClickFix bertema verifikasi yang membajak clipboard, yang menunjukkan bahwa kampanye tersebut melampaui Windows.
Pengguna disarankan untuk mengunduh pembaruan browser hanya dari menu pengaturan aplikasi mereka (Tentang > Periksa Pembaruan) dan menghindari menjalankan perintah di prompt perintah Windows atau Terminal yang tidak sepenuhnya mereka pahami.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
