DriveSurge: migliaia di siti legittimi diventano vettori di malware
Un threat actor ha trasformato migliaia di siti web in distribuzione automatica di malware via ClickFix e Fake Update, vendendo l'accesso infetto a pagamento.
Contenuto
Il threat actor DriveSurge ha compromesso migliaia di siti web legittimi trasformandoli in veicoli di distribuzione automatica di malware, senza che i proprietari se ne accorgessero. La campagna, documentata da Cyber Security News in un articolo del 1° giugno 2026 che riporta ricerca di Silent Push, svela un'infrastruttura di profilazione e routing che seleziona il payload più efficace per ciascuna vittima. Il modello di business è quello dell'Initial Access Broker a pagamento per installazione: ogni infezione viene monetizzata vendendo l'accesso compromesso ad altri operatori criminali.
- DriveSurge ha compromesso migliaia di siti legittimi, secondo la stima dei ricercatori di Silent Push via Cyber Security News, reindirizzando i visitatori verso malware senza consapevolezza dei proprietari dei siti
- L'infrastruttura si avvale di un Traffic Distribution System attivo dalmeno dal 2022, con meccanismo di failover su server backup e offuscamento Base64
- 8 fingerprint tecnici distinti mappano l'infrastruttura di DriveSurge, con 11+ domini identificati e 4+ hash SHA256 di file malevoli confermati
- Due tecniche di ingegneria sociale: Fake Update, che propone aggiornamenti browser falsi con ZIP contenente DLL ed eseguibili malevoli, e ClickFix, che istruisce la vittima a incollare comandi in terminale o PowerShell
- DriveSurge opera come Initial Access Broker con modello Pay-Per-Install, riscuotendo pagamento per ogni dispositivo infettato con successo e rivendendo l'accesso a threat actor downstream
Il TDS come cuore industriale della campagna
Il meccanismo centrale è un Traffic Distribution System che filtra e profila ogni visitatore prima di servire il payload. Secondo il report di Silent Push via Cyber Security News, il sistema utilizza offuscamento Base64 combinato con manipolazione di stringhe per mascherare il reindirizzamento. Un meccanismo di failover garantisce continuità operativa spostando il traffico su server backup quando i primari vengono individuati o bloccati.
I ricercatori hanno datare l'attività del TDS almeno al 2022, basandosi su un file changelog.txt rinvenuto sui server. Questa longevità documentata — di almeno 4 anni — indica un'infrastruttura consolidata nel tempo, anche se la fonte non chiarisce se DriveSurge l'abbia costruita ex novo, ereditata o acquistata.
Fake Update e ClickFix: due facce dello stesso inganno
Il TDS dirige le vittime verso due tipologie di payload, selezionati in base alla profilazione del visitatore. La prima, Fake Update, presenta una pagina che imita l'interfaccia di aggiornamento di un browser. L'interazione scarica un archivio ZIP contenente file DLL e un eseguibile denominato "Browser Update.exe" che è in realtà malware. Il hash SHA256 di uno di questi ZIP, relativo a una campagna che impersonava Firefox, è 90aecb370dfb1a99a1f7de0a9c6842ab1b664521fddea16b0ec9a91f322646fc.
La seconda tecnica, ClickFix, visualizza un messaggio di errore fittizio che invita l'utente a copiare e incollare un comando nella finestra del terminale o di PowerShell. L'esecuzione installa silenziosamente il payload malevolo. Questo schema sfrutta la familiarità dell'utente con istruzioni tecniche apparentemente legittime, abbassando la soglia di sospetto.
Per i sistemi macOS, la fonte documenta almeno un payload analizzato: un comando shell multi-stadio che scarica un file secondario, lo esegue e immediatamente cancella le tracce. Il hash SHA256 di questo payload è 7aa15de93cf85729ddf970e8d7897f69ece3ca29608f73e784a9ba40c9cea18d. Il server di comando e controllo associato risiede all'indirizzo IP 46.226.166.57.
L'industrializzazione dell'accesso iniziale
"DriveSurge operates as a specialized Initial Access Broker using a Pay-Per-Install model, where payment is collected each time a victim device is successfully infected" — Silent Push researchers, via Cyber Security News
Il Pay-Per-Install trasforma l'infezione in commodity. DriveSurge non necessariamente sfrutta direttamente i sistemi compromessi per attività di spionaggio o ransomware: la sua funzione è quella di abbassare il costo d'ingresso per criminali meno tecnici, che acquistano l'accesso già garantito. Questa stratificazione del mercato criminale — compromissione iniziale, profilazione, vendita — richiama le dinamiche dei Initial Access Broker documentati in altri contesti, ma con una scala e una specializzazione che la fonte descrive come frutto di "serious time invested into building a repeatable, scalable infection system".
Gli otto fingerprint tecnici distinti mappati dai ricercatori permettono di tracciare l'infrastruttura senza dipendere da singoli indicatori mutevoli. I domini identificati includono beacontrace.bond, jclforwarding.com, check.first-node.rocks, cptoptious.com, newtdsone.shop, captioto.com, testio.ecartdev.com, ycyfugihih.cfd, brightson.icu, coverlink.icu, datumprobe.icu, webgleam.info e cptoptions.com.
Cosa fare adesso
Le raccomandazioni seguenti si basano sui comportamenti documentati nel brief e sulle pratiche standard di sicurezza:
Verificare gli aggiornamenti browser. I browser legittimi non richiedono download di ZIP da pagine web esterne. Se un sito propone un aggiornamento, accedere alle impostazioni del browser direttamente dalla barra del menu, non dal link della pagina.
Rifiutare comandi da copiare in terminale. Nessun sito legittimo richiede di incollare comandi in PowerShell o terminale per risolvere errori. Questa richiesta è indicatore di compromissione.
Monitorare i siti gestiti. I proprietari di siti web dovrebbero verificare la presenza di script JavaScript iniettati, specialmente se il sito utilizza CMS con plugin o temi di terze parti. La compromissione documentata da Silent Push lascia inalterata la superficie visibile.
Controllare gli indicatori tecnici. Gli 8 fingerprint e i 4+ hash SHA256 pubblicati permettono di verificare la presenza di file o connessioni sospette associati all'infrastruttura DriveSurge.
Cosa cambia nel panorama delle minacce
Il vero segnale di cambiamento non è la tecnica, ma il mercato. La campagna DriveSurge segna un'evoluzione nella specializzazione criminale: la compromissione di massa di siti affidabili, la profilazione automatica delle vittime e la monetizzazione per installazione creano un mercato liquido dove l'accesso iniziale si scambia come servizio. Per le organizzazioni, questo significa che la presenza su siti di routine fiducia non costituisce più garanzia di sicurezza per i visitatori. Per gli utenti, la richiesta di aggiornamenti o la visualizzazione di errori tecnici su siti abituali richiede verifica indipendente.
La persistenza del TDS dal 2022 suggerisce che l'infrastruttura ha attraversato cicli di rilevamento e adattamento. La capacità di mantenere operativa una rete di migliaia di siti compromessi, senza interruzione apparente, indica un livello di automazione e gestione che distingue DriveSurge da campagne sporadiche di defacement o iniezione.
Domande frequenti
Come fa un utente a riconoscere un Fake Update?
Secondo le pratiche standard di sicurezza: i browser legittimi non richiedono download di archivi eseguibili da pagine web. La richiesta di scaricare un ZIP da una pagina esterna al processo di update ufficiale è indicatore di anomalia.
I proprietari dei siti compromessi possono accorgersi dell'infezione?
Secondo il report di Silent Push via Cyber Security News, i siti vengono compromessi "all without site owners ever knowing". La tecnica di iniezione JavaScript offuscata lascia inalterata la superficie visibile del sito, rendendo la compromissione invisibile alla navigazione ordinaria e probabilmente anche a controlli manuali superficiali.
Il payload macOS documentato è rappresentativo di tutta la campagna?
No. Il dossier riporta un'unica istanza analizzata di payload macOS. Non è possibile generalizzare la prevalenza di questa piattaforma rispetto a Windows o altri sistemi operativi sulla base dei dati disponibili.
Questo articolo si basa su un'unica fonte primaria strutturata (Cyber Security News che riporta ricerca di Silent Push); i dettagli non corroborati da fonti indipendenti sono segnalati come tali. Le informazioni sono aggiornate al momento della pubblicazione.
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.