DriveSurge-malwarekampanjen har kapret tusenvis av legitime nettsteder for å spre skadevare gjennom ClickFix- og FakeUpdate-angrep. Sikkerhetsforskere oppdaget at angripere kompromitterte betrodde nettsteder og i hemmelighet omdirigerte besøkende til ondsinnede sider designet for å infisere systemer med skadevare.
Operasjonen baserte seg hovedsakelig på social engineering i stedet for tradisjonelle programvareutnyttelser. Ofrene møtte falske nettleserfeil, verifiseringsmeldinger og falske oppdateringssider som lurte brukere til å kjøre skadelige kommandoer eller laste ned malware.
Forskerne mener kampanjen opererte i stor skala og rettet seg mot internettbrukere i flere regioner.
Kompromitterte nettsteder omdirigerte besøkende
Forskerne oppdaget at angriperne injiserte skadelige skript i tusenvis av kompromitterte nettsteder. De infiserte sidene omdirigerte i skjul utvalgte besøkende til angriperkontrollert infrastruktur uten at nettstedseierne umiddelbart oppdaget det.
Kampanjen brukte trafikkfiltreringssystemer for å avgjøre hvilke brukere som skulle motta skadelige omdirigeringer. Noen besøkende fortsatte å se normalt innhold, mens andre ble sendt videre til sider som distribuerte skadevare.
Denne selektive målrettingen hjalp operasjonen med å holde seg skjult over lengre tid. Nettstedsadministratorer kan derfor ha vært uvitende om kompromitteringen fordi den skadelige oppførselen ikke ble vist til alle besøkende.
Forskerne beskrev infrastrukturen som sterkt automatisert og i stand til å håndtere store mengder nettrafikk samtidig.
ClickFix-angrep baserte seg på social engineering
Kampanjen misbrukte i stor grad ClickFix-teknikker, som baserer seg på brukerinteraksjon i stedet for direkte utnyttelse av sårbarheter.
Ofrene møtte falske CAPTCHA-sider, nettleservarsler eller tekniske bekreftelsesmeldinger. Disse sidene instruerte brukere til å kopiere og lime inn kommandoer i Windows Kjør-dialogen eller PowerShell-konsollen.
Når kommandoene ble utført, lastet systemet ned skadevare til offerets enhet.
Forskerne advarte om at ClickFix-angrep fortsetter å øke fordi de omgår mange tradisjonelle sikkerhetsmekanismer. I stedet for å utnytte programvarefeil manipulerer angriperne brukerne til å infisere systemene sine selv.
Denne metoden gjør også oppdagelse vanskeligere fordi aktiviteten ofte ser ut som normal brukeradferd.
FakeUpdate-sider etterlignet ekte oppdateringer
Angriperne brukte også FakeUpdate-teknikker gjennom hele kampanjen. Ofrene så realistiske oppdateringsmeldinger som utga seg for å komme fra nettlesere, Windows-systemer eller populære programmer.
De falske varslene oppfordret brukere til å installere påståtte sikkerhetsoppdateringer eller nettleserrettelser. I stedet for legitim programvare inneholdt nedlastingene skadevare som kunne stjele data eller gi angriperne ekstern tilgang.
FakeUpdate-kampanjer har blitt stadig mer populære fordi mange brukere automatisk stoler på oppdateringsvarsler. Godt utformede falske meldinger kan ligne svært mye på ekte systemadvarsler.
Forskerne påpekte at angrepene i stor grad spiller på stress og frykt for å få brukere til å handle raskt.
Forskere kobler kampanjen til større malwareoperasjoner
Sikkerhetsanalytikere som følger kampanjen mener operatørene kan fungere som såkalte Initial Access Brokers. Disse gruppene spesialiserer seg på å kompromittere systemer og deretter selge tilgangen videre til andre cyberkriminelle aktører.
I stedet for å distribuere ransomware direkte fokuserer access brokers på å generere store mengder infeksjoner som andre angripere senere kan utnytte.
Forskerne observerte tegn på at kampanjen kan støtte pay-per-install-operasjoner, der malwareoperatører betaler for hver vellykkede infeksjon som leveres gjennom nettverket av kompromitterte nettsteder.
Strukturen viser hvordan moderne cyberkriminalitet i økende grad fungerer som et forretningsøkosystem med spesialiserte roller.
Nettstedseiere bør gjennomgå sikkerheten
Sikkerhetseksperter anbefaler at nettstedsadministratorer undersøker systemene sine for injiserte skript, mistenkelige omdirigeringer og uautoriserte filendringer. Organisasjoner bør også holde CMS-plattformer, plugins og serverprogramvare oppdatert for å redusere risikoen for kompromittering.
Sterke administratorpassord og multifaktorautentisering er fortsatt viktige beskyttelser mot kaprede nettsteder.
Forskerne oppfordrer også internettbrukere til å være forsiktige når nettsteder plutselig viser uventede verifiseringsmeldinger, oppdateringskrav eller instruksjoner som involverer PowerShell eller kommandokjøring.
Legitime nettsteder og ekte programvareoppdateringer krever sjelden at brukere manuelt limer inn kommandoer i systemkonsoller.
Konklusjon
DriveSurge-malwarekampanjen viser hvordan angripere fortsetter å misbruke legitime nettsteder for å distribuere skadevare i stor skala. Ved å kompromittere betrodde nettsteder og omdirigere besøkende til ClickFix- og FakeUpdate-sider skapte operatørene et effektivt nettverk for malwaredistribusjon basert på social engineering.
Kampanjen viser også hvordan cyberkriminelle i økende grad beveger seg bort fra tradisjonelle utnyttelser og heller fokuserer på å manipulere brukeradferd. Etter hvert som disse teknikkene fortsetter å spre seg, må både organisasjoner og vanlige brukere være forsiktige med uventede oppdateringsmeldinger, CAPTCHA-forespørsler og nettleservarsler på nettet.
0 responses to “DriveSurge-malwarekampanjen kaprer tusenvis av nettsteder”