محققان شرکت Silent Push یک کمپین گسترده توزیع بدافزار را شناسایی کردهاند که در آن گروه DriveSurge با سوءاستفاده از هزاران وبسایت آلوده، کاربران را به زیرساختهای مخرب هدایت میکند. مهاجمان در این عملیات با ترکیب حملات کلیکفیکس (ClickFix) و تکنیک آپدیتجعلی (FakeUpdate) تلاش میکنند قربانیان را به دانلود فایلهای آلوده یا اجرای دستورات مخرب ترغیب کنند؛ بررسیها نشان میدهد مهاجمان از حملات کلیکفیکس برای متقاعد کردن کاربران به اجرای دستورات مخرب روی سیستمهای خود بهره میبرند.
فعالیت DriveSurge و مدل عملیاتی کلیکفیکس و آپدیتجعلی
بررسیهای پژوهشگران نشان میدهد گروه DriveSurge عمدتاً بهعنوان یک واسطه دسترسی اولیه (Initial Access Broker) فعالیت میکند و از مدل درآمدی پرداخت بهازای نصب (Pay-Per-Install – PPI) برای کسب درآمد بهره میبرد. در این مدل، مهاجمان پس از آلودهسازی سیستم قربانیان، دسترسی اولیه را در اختیار سایر عوامل تهدید قرار میدهند.
در این کمپین، بازدیدکنندگان وبسایتهای آلوده ابتدا به یک سامانه توزیع ترافیک (Traffic Distribution System – TDS) موسوم به zTDS هدایت میشوند. این زیرساخت با بررسی ویژگیهای فنی کاربران، مناسبترین سناریوی فریب از جمله حملات کلیکفیکس یا آپدیتجعلی را انتخاب کرده و آنها را به صفحه مخرب مربوطه منتقل میکند. به گفته محققان، DriveSurge از این روش برای سوءاستفاده از هزاران وبسایت معتبر و هدایت مخفیانه کاربران به زیرساختهای توزیع بدافزار استفاده میکند؛ بدون آنکه صاحبان وبسایتها یا بازدیدکنندگان از این فرآیند آگاه باشند.
تحلیل مکانیزم حملات کلیکفیکس
حملات کلیکفیکس، مهاجمان با استفاده از تکنیکهای مهندسی اجتماعی، کاربران را متقاعد میکنند که برای رفع یک مشکل فنی یا تکمیل فرآیند تأیید، دستورات مشخصی را در پاورشل (PowerShell)، خط فرمان ویندوز (Command Prompt) یا ترمینال (Terminal) اجرا کنند. این دستورات در ظاهر بخشی از یک راهکار فنی قانونی به نظر میرسند، اما در عمل زمینه دانلود و اجرای بدافزار را روی سیستم قربانی فراهم میکنند.
بر اساس یافتههای Silent Push، گروه DriveSurge از این روش در کنار صفحات جعلی بهروزرسانی نرمافزار استفاده میکند تا کاربران را به اجرای پیلود مخرب و آلودهسازی دستگاههای خود ترغیب کند. سادگی این سناریو و اتکای آن به اعتماد کاربران، موجب شده مهاجمان بهطور گسترده از این روش در کمپینهای توزیع بدافزار استفاده کنند.
تکنیک آپدیتجعلی در کمپین DriveSurge
در سناریوی آپدیتجعلی ، کاربر با صفحهای مواجه میشود که ظاهری مشابه اعلان رسمی بهروزرسانی مرورگر دارد. این صفحه با هدف ترغیب کاربر به دانلود و اجرای فایلهای مخرب طراحی شده است.
در کمپین DriveSurge، این اعلانهای ساختگی مرورگرهای مختلفی از جمله کروم، فایرفاکس، اج (Edge)، سافاری (Safari)، اپرا (Opera)، بریو (Brave)، یاندکس (Yandex)، ویوالدی (Vivaldi)، مرورگر اینترنت سامسونگ (Samsung Internet) و مرورگر UC را جعل میکنند.
بر اساس یکی از نمونههای مستندشده توسط Silent Push، اعلان جعلی بهروزرسانی فایرفاکس کاربر را به دانلود یک فایل ZIP هدایت میکرد. این فایل حاوی چندین فایل DLL و یک فایل اجرایی مخرب با نام Browser Update.exe بود.
شناسایی زیرساختهای مخرب و اهداف جدید حمله
پژوهشگران Silent Push موفق شدند هشت شاخص فنی مرتبط با این کمپین را شناسایی کنند که در کشف زیرساختهای DriveSurge و وبسایتهای آلوده نقش مهمی داشتهاند.
یکی از مهمترین این شاخصها، تزریق کد جاوااسکریپت (JavaScript) با الگوی t.js?site=<id> بود؛ در این ساختار، مقدار <id> یک شناسه منحصربهفرد است که به هر وبسایت آلوده اختصاص داده میشود.
محققان همچنین بیش از 80 دامنه مورد استفاده برای تزریق کد مخرب (Malicious Injection Domains) را شناسایی کردند. علاوه بر این، مجموعهای از دامنههای از پیش آمادهسازیشده برای حملات آینده نیز شناسایی شدند که هنوز در عملیاتهای واقعی مورد استفاده قرار نگرفته بودند.
در بخش دیگری از تحقیقات، پژوهشگران یک پیلود جاوااسکریپت مبهمسازیشده را شناسایی کردند که بهطور خاص برای هدف قرار دادن سیستمهای دسکتاپ مکاواس (macOS) طراحی شده بود. این پیلود از طریق حملات کلیکفیکس با مضمون تأیید هویت توزیع میشد و با ربودن کلیپبورد (clipboard)، زمینه اجرای دستورات مخرب توسط کاربر را فراهم میکرد.
این یافته نشان میدهد دامنه فعالیت این کمپین تنها به کاربران ویندوز محدود نیست و کاربران مکاواس را نیز هدف قرار میدهد.
توصیههای امنیتی
کارشناسان توصیه میکنند بهروزرسانی مرورگرها را فقط از طریق بخش تنظیمات رسمی برنامه، گزینه درباره برنامه و بخش بررسی بهروزرسانیها (About > Check for Updates) دریافت کنید. همچنین از اجرای هرگونه دستور در خط فرمان ویندوز، پاورشل یا ترمینال با عملکرد غیرطبیعی خودداری کنید؛ زیرا چنین دستورات ناشناختهای میتوانند منجر به اجرای بدافزار و آلودگی سیستم شوند.
