Hackerii deturnează mii de site-uri pentru a lansa atacuri de tip ClickFix și FakeUpdate
Sursă: https://www.bleepingcomputer.com
O persoană rău intenționată identificată sub numele de DriveSurge a derulat campanii de distribuire a programelor malware la scară largă, folosind tehnicile ClickFix și FakeUpdates pe site-uri compromise.
Mii de site-uri web au fost compromise în cadrul campaniilor DriveSurge pentru a redirecționa utilizatorii către infrastructura de distribuire a malware-ului, conform specialiștilor de la o companie de securitate cibernetică.
ClickFix este o tactică populară de inginerie socială care îi induce în eroare pe utilizatori să copieze și să execute comenzi malițioase pe sistemele lor, ceea ce duce adesea la infectări cu malware sub pretextul remedierii unei probleme tehnice.
În cadrul atacurilor de tip FakeUpdates, hackerii atrag utilizatorii cu mesaje frauduloase privind actualizarea software-ului, de obicei sub pretextul unor actualizări ale browserului, pentru a-i determina să descarce și să instaleze programe malware.
Potrivit specialiștilor, DriveSurge acționează în principal ca un broker de acces inițial (IAB) care funcționează pe baza unui model de tip pay-per-install (PPI), facilitând astfel atacurile ulterioare.
Utilizatorii site-urilor compromise sunt redirecționați printr-un sistem de distribuire a traficului (TDS) cunoscut sub numele de zTDS, care le creează un profil și stabilește dacă este mai potrivită o amenințare FakeUpdates sau una ClickFix.
zTDS este un sistem TDS open-source care există cel puțin din 2015 și pe care DriveSurge îl utilizează cel puțin din septembrie 2025.
Amenințările FakeUpdates conțin notificări false de actualizare pentru Chrome, Firefox, Edge, Safari, Opera, Brave, Yandex, Vivaldi, Samsung Internet și UC Browser, în timp ce atacurile ClickFix implică comenzi PowerShell.
Specialiștii au identificat pt amprente tehnice asociate campaniei, care au contribuit la identificarea infrastructurii DriveSurge și a site-urilor web compromise.
Printre acestea se numără o injectare JavaScript care urmează modelul t.js?site=<id>, unde <id> este o valoare unică atribuită fiecărui site web compromis.
În plus, specialiștii au descoperit un cod JavaScript ascuns, conceput special pentru a viza sistemele desktop macOS, distribuit prin atacuri de tip ClickFix sub pretextul verificării, care deturnează clipboard-ul, ceea ce indică faptul că această campanie nu se limitează doar la Windows.
Se recomandă utilizatorilor să descarce actualizările browserului numai din meniul de setări al aplicației (Despre > Verifică actualizările / About > Check for Updates) și să evite executarea în linia de comandă Windows sau în Terminal a unor comenzi pe care nu le înțeleg pe deplin.
Sursă: https://www.bleepingcomputer.com/news/security/hackers-hijack-thousands-of-sites-for-clickfix-and-fakeupdate-attacks/
