脅威アクターが数千ものウェブサイトを侵害し、システムへの初期アクセスを販売することを目的とした組織的なマルウェア配布作戦の一環として、大規模なClickFixおよびFakeUpdate攻撃を仕掛けていることが判明しました。このキャンペーンはWindowsユーザーだけでなくmacOSシステムも標的とし、約1年にわたって検出を回避してきた成熟したサイバー犯罪エコシステムとみられています。
この活動を発見したSilent Pushの研究者が「DriveSurge」と命名したこの作戦は、初期アクセスブローカー(IAB)として機能しており、「ペイ・パー・インストール(PPI)モデルを採用し、下流の脅威アクターに高品質な被害者情報を提供している」と、最近公開されたレポートは指摘しています。
この作戦の主要な手段は、トラフィック配布システム(TDS)と呼ばれる技術で、特にzTDSというオープンソースの派生版を使用しています。zTDSは少なくとも2015年から使用されており、ztds[.]infoで公開されています。このシステムが活動の基盤エンジンとして機能しており、侵害されたウェブサイトがzTDSドメインを設定して、Silent PushによるとClickFixおよびFakeUpdateサイトの被害者へとトラフィックを誘導しています。
レポートには「zTDSを使用してDriveSurgeは数千件の正規かつ信頼性の高いウェブサイトを乗っ取り、サイトの所有者や訪問者が気づかないまま、訪問者をマルウェアへとひそかにリダイレクトしている」と記されています。
標的を絞ったペイロード配布
研究者らが明らかにしたところによると、DriveSurgeのインフラは非常に広範囲に及んでおり、ペイロードのリポジトリ、PowerShellダウンローダー、ステージングサーバー、そして一部が摘発されても機能を維持するための複数のフォールバックドメインを含んでいます。攻撃者はさらに、Base64エンコーディング、動的なURL構築、フェイルオーバーロジックを使った難読化JavaScriptを用いて悪意あるコードを取得しつつ、検出を回避しています。
レポートによると、この作戦の戦略で特筆すべき点の一つは、インフラ上にホストされた難読化ペイロードを使って被害者の詳細なプロファイリングを実施していることです。攻撃者はマルウェアの機能を通じてターゲット環境の情報を収集します。具体的には、OSの特性の識別、攻撃者が管理するエンドポイントとの通信、そして被害者のプラットフォームに応じたペイロードの動的生成などが行われます。
Secure.comのエンジニアリング責任者であるWaseem Ahmed氏はDark Readingに対し、この活動はその規模において独特だと述べています。「ClickFixや偽のアップデートポップアップは、しばらく前からよく使われる侵入手口でした」としながらも、DriveSurgeが異なる点は「その規模と、その背後にあるビジネスモデル」だと指摘します。
「ハッキングされた正規サイト数千件にまたがって静かに運営し、そのアクセス権を欲しい者に販売しているのです」と同氏は言います。「空き巣というより、空き巣に鍵を売る男、といったイメージです。」
Silent Pushによると、このキャンペーンのもう一つの注目すべき点は、長期間にわたって検出されずにいたことです。キャンペーンで使用された悪意あるウェブサイトの一つは少なくとも2025年9月から稼働していましたが、研究者がDriveSurgeを発見したのは今年2月のことでした。
「DriveSurgeが注目に値するのは、活動の規模だけではありません。インフラの巧妙さ、標的の広さ、そして今日まで大部分が検出されずに運営されてきたという事実が、その真の脅威を物語っています」とレポートは述べています。
攻撃の仕組み
被害者の視点では、攻撃は企業、専門サービス会社、地域団体などの正規ウェブサイト——ただし密かに侵害されたもの——を訪問することから始まります。バックグラウンドでは、DriveSurgeが埋め込んだ隠された悪意あるコードが訪問者をzTDSを通じてルーティングし、前述のとおり訪問者をプロファイリングした上で次に何を表示するかを決定します。
侵害された場合、ユーザーは通常2つのシナリオのいずれかに遭遇します。1つ目はFakeUpdateによるブラウザ更新で、Google Chrome、Mozilla Firefox、Microsoft Edge、Safari、Opera Browser、Brave Browser、Yandex Browser、Vivaldi、Samsung Internet、UC Browser、または「その他」カテゴリのブラウザになりすました偽のプロンプトが表示されます。このプロンプトはユーザーに、正規の更新に見せかけた実際にはマルウェアであるファイルのダウンロードを促します。
2つ目のシナリオはClickFix攻撃です。この手口では、ユーザーに偽のエラーメッセージが表示され、この種の攻撃の典型として、「修正コード」をターミナルまたはPowerShellウィンドウにコピー&ペーストするよう指示されます。実際にはこの「修正コード」は悪意あるコマンドであり、マルウェアを直接システムにインストールします。
Silent Pushの研究者は、それぞれの攻撃の実例を確認しています。侵害されたサイトjclforwarding[.]comでFakeUpdate攻撃を観測し、悪意あるドメインcheck[.]first-node[.]rocksがMozilla Firefoxの偽アップデートページを表示して、複数のDLLと「Browser Update[.]exe」を含むZIPファイルのダウンロードを引き起こしていたことを確認しました。
また、レポートによると、ClickFix攻撃がIPアドレス91.92.240[.]127から悪意あるコードを取得しようとしているケースも確認されており、このアドレスはSilentPushのBulletproof Hosting Indicators of Future Attack(IOFA)フィードに以前から登録されていたものです。
ClickFix攻撃の民主化
DriveSurgeは、組織化されたIAB活動とClickFixという、現在のサイバーセキュリティにおける2つの台頭するトレンドを組み合わせたものです。この組み合わせは、ユーザーを騙して手動でコマンドを実行させることで、多くの従来のブラウザ保護機能をいかに巧みに回避できるかを示しています。また、この攻撃はmacOSが攻撃対象として増加していることも示しており、歴史的にWindowsより攻撃を受けにくかったmacOSにおける標的化の拡大が浮き彫りになっています。
証明書ライフサイクル管理会社Sectigoのシニアフェロー、Jason Soroko氏はDark Readingに対し、こうした攻撃を阻止するために防御側は自動化された保護への依存を減らし、ユーザーに手動でマルウェアを実行させる巧妙なソーシャルエンジニアリング戦術への対処にシフトすべきだと述べています。
「セキュリティチームはリアルタイムの脅威インテリジェンスフィードを取り込んでDriveSurgeのドメインをブロックし、従業員が偽のエラープロンプトを見分けられるよう、また見慣れないコマンドを絶対にシステムダイアログに貼り付けないよう、ユーザー教育を優先すべきです」と同氏は述べています。
SilentPushによると、組織は予防措置として、新規または評判の低いドメインへの予期しないアウトバウンドトラフィック、ベンダー以外のドメインから発生するブラウザ更新プロンプト、ウェブサイトからコピーしたコマンドをユーザーがターミナル、PowerShell、またはシェルで実行する行為など、この作戦に関連する活動を監視するようセキュリティチームに指示すべきです。
外部公開のWebサーバーへの不審なJavaScriptインジェクション、およびSilent Pushが提供するzTDSインフラとこのキャンペーンに関連するClickFix配布チェーンの侵害指標(IoC)も、キャンペーンの検出に役立てることができます。
