DriveSurge fertőzési lánc
A Silent Push egy új fenyegető szereplőt azonosított DriveSurge néven, amely nagyszabású fertőzési infrastruktúrát üzemeltet kompromittált weboldalak ezrein keresztül. A csoport elsődleges célja nem közvetlen adatlopás vagy zsarolás, hanem fertőzött rendszerek tömeges előállítása és értékesítése más bűnözői szereplők számára. A kutatók értékelése szerint a DriveSurge valószínűleg kezdeti hozzáférést biztosító brókerként (Initial Access Broker – IAB) működik, és Pay-Per-Install (PPI) modellben értékesíti a sikeresen kompromittált rendszereket.
A művelet alapja egy forgalomelosztó rendszer (Traffic Distribution System – TDS), amelyhez a nyílt forráskódú zTDS keretrendszert használják. A támadók legitim, gyakran nagy látogatottságú weboldalakat kompromittálnak, majd a látogatók egy részét észrevétlenül rosszindulatú oldalakra irányítják át. A weboldalak üzemeltetői sok esetben nem is tudnak arról, hogy oldaluk fertőzési lánc részeként működik.
A DriveSurge által alkalmazott fő fertőzési módszerek a ClickFix és a FakeUpdates kampányok. A ClickFix esetében a felhasználót hamis hibaüzenetekkel vagy CAPTCHA-oldalakkal veszik rá PowerShell-parancsok manuális futtatására. A FakeUpdates technika során hamis böngésző- vagy szoftverfrissítések jelennek meg, amelyek valójában kártevőket telepítenek.
A Silent Push szerint a csoport infrastruktúrája különösen kifinomult. Több ezer kompromittált weboldalt, dinamikusan változó átirányítási láncokat és nagyszámú TDS-domaint használnak. A kutatók nyolc technikai ingerprintet találtak, amelyek segítségével a DriveSurge infrastruktúrája nagy pontossággal követhető.
A DriveSurge iparszerű módon automatizálja a fertőzések előállítását. A fertőzési infrastruktúra és a végső kártevők üzemeltetése elkülönül, ami jól illeszkedik a modern kiberbűnözői ökoszisztéma specializált modelljéhez. A DriveSurge nem feltétlenül maga hajt végre zsarolóvírusos vagy adatlopási műveleteket, hanem kompromittált rendszereket szolgáltat más fenyegető szereplők számára. Ez jelentősen növeli a ClickFix és FakeUpdates kampányok stratégiai jelentőségét, mivel azok egy teljes bűnözői ellátási lánc belépési pontjaként működnek.
