DriveSurge adlı tehdit aktörü, güvenlik şirketi SilentPush araştırmacılarına göre binlerce web sitesini ele geçirerek ClickFix ve FakeUpdate teknikleriyle büyük çaplı kötü amaçlı yazılım dağıtım kampanyaları yürütüyor. Saldırganlar, ele geçirdikleri yüksek itibarlı sitelere ziyaretçileri farkında olmadan kötü amaçlı yazılım altyapısına yönlendiren ‘t.js?site=’ kalıbını izleyen bir JavaScript enjeksiyonu yerleştiriyor. DriveSurge ClickFix saldırıları kapsamında kullanılan bu yöntem, site sahiplerinin veya ziyaretçilerin bilgisi olmadan sessizce gerçekleşiyor.

zTDS Trafik Dağıtım Sistemi En Az 2015’ten Beri Kullanılıyor

DriveSurge FakeUpdate saldırılarında kullanılan zTDS, en az 2015’ten beri var olan ve tehdit aktörünün Eylül 2025’ten beri kullandığı açık kaynaklı bir trafik dağıtım sistemi olarak öne çıkıyor. zTDS trafik dağıtım sistemi, ele geçirilen sitelerin ziyaretçilerini profilliyor ve her bir hedef için sahte güncelleme tuzağının mı yoksa PowerShell komutları içeren ClickFix yönteminin mi daha uygun olduğunu belirliyor. SilentPush araştırmacıları, kampanyayla ilişkili sekiz teknik parmak izi tespit ederek 80’den fazla kötü amaçlı enjeksiyon alan adı ve henüz saldırılarda kullanılmamış bir dizi önceden silahlandırılmış alan adı keşfetti.

SilentPush’in vurguladığı bir vakada, sahte bir Firefox güncellemesi birden fazla DLL ve ‘Browser Update.exe’ adlı kötü amaçlı bir yürütülebilir dosya içeren bir ZIP arşivi indiriyor. DriveSurge’in FakeUpdate yönteminde kullandığı sahte güncelleme bildirimleri, Chrome, Firefox, Edge, Safari, Opera, Brave, Yandex, Vivaldi, Samsung Internet ve UC Browser gibi çok sayıda tarayıcıyı hedef alıyor. Bu geniş kapsamlı yaklaşım, saldırganların mümkün olduğunca fazla kullanıcıya ulaşma çabasını gösteriyor.

macOS Sistemleri De ClickFix Tuzağının Hedefinde

Araştırmacılar ayrıca, macOS masaüstü sistemlerini hedef almak için özel olarak tasarlanmış gizlenmiş bir JavaScript yükü keşfetti. ClickFix tekniğiyle dağıtılan bu yük, panoyu ele geçiren doğrulama temalı sahte mesajlar aracılığıyla çalışıyor ve kampanyanın yalnızca Windows sistemlerini hedef almadığını gösteriyor. DriveSurge ilk erişim komisyoncusu olarak pay-per-install modelinde faaliyet gösteriyor ve bu model sayesinde takip eden saldırılara zemin hazırlıyor.

👉️ İlginizi Çekebilir: Microsoft Teams Üzerinden Yeni Sosyal Mühendislik Riski: Harici Tenant’lar Helpdesk Gibi Davranarak Kullanıcıları Hedefliyor

Kullanıcıların, tarayıcı güncellemelerini yalnızca uygulamanın ayarlar menüsünden (Hakkında > Güncellemeleri kontrol et) indirmeleri ve tam olarak anlamadıkları komutları Windows komut isteminde veya Terminal’de çalıştırmaktan kaçınmaları öneriliyor. SilentPush’in tespit ettiği sekiz teknik parmak izi arasında en dikkat çekeni, her bir ele geçirilen siteye benzersiz bir değer atayan ‘t.js?site=’ kalıbı olarak öne çıkıyor. DriveSurge’in bu kampanyası, yüksek itibarlı sitelerin bile güvenliğinin ihlal edilebileceğini ve bu durumun ziyaretçiler için ne kadar büyük bir risk oluşturabileceğini gösteriyor.