O operațiune de amploare denumită DriveSurge a compromis mii de site-uri web legitime pentru a redirecționa utilizatorii către pagini malițioase, folosind scheme ClickFix și FakeUpdate. Atacatorii exploatează un sistem de distribuție a traficului (TDS) care interceptează vizitatorii și îi trimite către site-uri ce afișează ferestre false de actualizare sau alerte de securitate.
Campania vizează utilizatorii care ajung pe site-uri de încredere – de la bloguri la platforme de știri –, dar care, fără să știe, sunt redirecționați către pagini controlate de atacatori. Acolo, li se solicită să descarce o „actualizare” sau să facă clic pe un buton pentru a remedia o presupusă problemă, ceea ce duce de fapt la infectarea cu malware.
Ce este DriveSurge și cum funcționează?
DriveSurge este denumirea dată de cercetătorii în securitate unei operațiuni de tip Initial Access Broker (IAB) care folosește un Traffic Distribution System (TDS) personalizat. Atacatorii injectează cod JavaScript malițios în site-uri legitime, de obicei prin vulnerabilități ale pluginurilor CMS sau ale serverelor. Codul verifică dacă vizitatorul îndeplinește anumite criterii (sistem de operare, browser, locație) și, dacă da, îl redirecționează către o pagină de malvertising sau către un exploit kit.
În cazul ClickFix, utilizatorul vede un buton sau o alertă care îl îndeamnă să facă clic pentru a „rezolva” o problemă falsă (de exemplu, „Browserul tău este expirat”). FakeUpdate afișează o fereastră care imită actualizările legitime de browser sau de player media. Odată ce victima face clic, se descarcă și execută un payload malițios – de obicei un troian de acces remote (RAT) sau un agent de criptare.
Amploarea atacului
Potrivit rapoartelor, campania DriveSurge a compromis peste 10.000 de site-uri, multe dintre ele având trafic semnificativ. Atacatorii au folosit o rețea de proxy și servere distribuite geografic pentru a ascunde originea redirecționărilor. Spre deosebire de atacurile clasice de tip drive-by download, aici accentul cade pe calibrarea traficului: TDS-ul selectează doar utilizatorii cu șanse mai mari de a cădea în capcană, crescând eficiența campaniei.
Cercetătorii subliniază că nu toți vizitatorii unui site compromis sunt redirecționați. Atacatorii evită să atace de pe aceeași adresă IP de mai multe ori sau să redirecționeze utilizatori din anumite țări (de exemplu, Ucraina sau Rusia), probabil pentru a nu atrage atenția autorităților locale.
Cum se protejează utilizatorii?
Pentru a evita infectarea, specialiștii recomandă:
- Să nu dai clic pe alerte de actualizare apărute în pagini web – actualizările se fac doar din setările aplicației sau din magazinul oficial.
- Utilizarea unui blocant de reclame și a unei soluții de securitate care filtrează traficul malițios.
- Menținerea sistemului și browserului la zi, de preferat cu actualizări automate activate.
- Verificarea periodică a integrității site-urilor deținute (dacă ești administrator) și securizarea pluginurilor.
Pentru administratorii de site-uri, se recomandă scanarea regulată a fișierelor, utilizarea unui firewall pentru aplicații web (WAF) și actualizarea promptă a tuturor componentelor.
Concluzii și implicații
DriveSurge este un exemplu clar că atacurile IAB devin din ce în ce mai sofisticate, exploatând încrederea utilizatorilor în site-uri cunoscute. Pentru România, unde multe site-uri mici și medii rulează pe platforme populare (WordPress, Joomla) fără actualizări constante, riscul este semnificativ. Utilizatorii trebuie să fie vigilenți, iar administratorii să prioritizeze securitatea. Nu există o soluție „de unică folosință” – doar o combinație de tehnologii și bune practici poate reduce riscul.