「DriveSurge」と呼ばれる脅威アクターが、侵害されたサイトを悪用してClickFixとFakeUpdatesの手法を組み合わせた大規模なマルウェア配布キャンペーンを展開していることが明らかになりました。
サイバーセキュリティ企業SilentPushの研究者によると、DriveSurgeのキャンペーンによって数千ものウェブサイトが侵害され、訪問者をマルウェア配布インフラへ誘導するために悪用されています。
ClickFixは、技術的な問題を解決するという名目で被害者を騙し、悪意のあるコマンドをコピー・実行させるソーシャルエンジニアリング手法です。多くの場合、最終的にマルウェアへの感染につながります。
FakeUpdates攻撃では、脅威アクターが偽のソフトウェアアップデート通知—主にブラウザのアップデートを装ったもの—を使って被害者を誘い込み、悪意のあるペイロードをダウンロード・インストールさせます。
Silent Pushの研究者によると、脅威アクターDriveSurgeは主に「初期アクセスブローカー(IAB)」として機能しており、インストール課金型(PPI)モデルで動作することで後続の攻撃を可能にしています。
侵害されたウェブサイトへの訪問者は、「zTDS」と呼ばれるトラフィック分配システム(TDS)を経由してリダイレクトされます。zTDSは訪問者をプロファイリングし、FakeUpdatesとClickFixのどちらの誘導手法がより効果的かを判断します。
zTDSは少なくとも2015年から存在するオープンソースのTDSであり、DriveSurgeは少なくとも2025年9月からこれを活用しています。
「DriveSurgeはzTDSを利用して、信頼性の高い正規ウェブサイト数千件を乗っ取り、サイトの管理者や訪問者が気づかないまま、訪問者をマルウェアへ静かにリダイレクトしています」とSilent Pushは述べています。
FakeUpdatesの誘導画面では、Chrome、Firefox、Edge、Safari、Opera、Brave、Yandex、Vivaldi、Samsung Internet、UC Browserの偽アップデート通知が使用されています。一方、ClickFix攻撃ではPowerShellコマンドが用いられています。
Silent Pushのレポートで取り上げられた事例では、偽のFirefoxアップデートが複数のDLLと「Browser Update.exe」という名の悪意ある実行ファイルを含むZIPアーカイブをダウンロードさせるものでした。
研究者たちはこのキャンペーンに関連する8つの技術的フィンガープリントを特定しており、これらをもとにDriveSurgeのインフラと侵害されたウェブサイトの把握が進んでいます。
その中には、「t.js?site=<id>」というパターンに従うJavaScriptインジェクションが含まれており、<id>は侵害された各ウェブサイトに割り当てられた固有の値です。
調査を通じて、Silent Pushは80以上の悪意ある注入用ドメインと、まだ攻撃に使用されていない武器化済みドメインのセットを発見しました。
さらに研究者たちは、macOSデスクトップシステムを標的とした難読化済みJavaScriptペイロードを発見しました。このペイロードは、クリップボードを乗っ取る「確認」テーマのClickFix攻撃を通じて配信されており、今回のキャンペーンがWindowsにとどまらないことを示しています。
ブラウザのアップデートはアプリの設定メニュー(「バージョン情報」→「アップデートを確認」)からのみ行うこと、また内容を十分に理解していないコマンドをWindowsのコマンドプロンプトやターミナルで実行しないことが推奨されています。
検証のギャップ:自動ペネトレーションテストが答えるのは一つの問いだけ。本当に必要なのは六つの問いへの答えです。
自動ペネトレーションテストツールは確かな価値を提供しますが、それらは「攻撃者がネットワーク内を移動できるか」という一つの問いに答えるために設計されたものです。コントロールが脅威をブロックできるか、検知ルールが機能するか、クラウド設定が安全かといった問いには答えられません。
本ガイドでは、実際に検証が必要な6つの領域を解説します。
