Un gruppo di cybercriminali tracciato come DriveSurge ha costruito un’infrastruttura di distribuzione malware su scala industriale, dirottando migliaia di siti web legittimi per veicolare campagne ClickFix e FakeUpdates. Dietro l’operazione si cela il sistema di distribuzione del traffico zTDS, che seleziona dinamicamente la trappola più efficace per ciascuna vittima. Il target: qualunque utente Windows o macOS che visiti un sito compromesso.
Chi è DriveSurge e cosa fa zTDS
DriveSurge è un threat actor di tipo malware-as-a-service specializzato nella distribuzione massiva di payload attraverso siti web compromessi. La sua infrastruttura operativa si regge sul Traffic Distribution System zTDS, un sistema sofisticato che analizza i visitatori in tempo reale — sistema operativo, geolocalizzazione, browser, orario di accesso — e li reindirizza verso la trappola ottimale, scelta tra due filoni principali: ClickFix o FakeUpdates.
I ricercatori di SilentPush hanno documentato la campagna, rilevando che DriveSurge gestisce attivamente una rete di traffic broker che monetizzano il traffico dai siti compromessi indirizzandolo verso le campagne di distribuzione. Si tratta di un modello di business criminale consolidato: chi compromette i siti raccoglie il traffico e lo vende; DriveSurge compra quel traffico e lo converte in infezioni.
ClickFix: il trucco psicologico che bypassa l’antivirus
La tecnica ClickFix si basa su un principio di social engineering brutalmente efficace: mostrare all’utente un messaggio di errore fasullo — tipicamente un avviso del browser o di un’applicazione — che invita a “risolvere il problema” incollando ed eseguendo manualmente un comando nella console PowerShell o nel terminale.
Il vantaggio per gli attaccanti è che l’utente diventa il vettore di infezione: non serve exploit, non serve privilege escalation — è la vittima stessa a lanciare il payload con i propri privilegi. Il comando incollato è solitamente una lunga stringa offuscata che scarica ed esegue il malware direttamente dalla memoria, senza scrivere file su disco che possano essere rilevati dall’antivirus.
Nella versione DriveSurge, i lure ClickFix impersonano avvisi di Google Chrome, Microsoft Edge o applicazioni enterprise, con messaggi localizzati nella lingua del visitatore. Il comando finale tipicamente esegue uno script PowerShell che:
- Scarica un payload cifrato da un dominio compromesso o da un CDN legittimo abusato
- Lo decifra in memoria ed esegue il dropper
- Installa un infostealer (Lumma Stealer, Vidar, o varianti custom) o un RAT
- Aggiunge persistenza tramite scheduled task o chiavi di registro
FakeUpdates: il classico che non tramonta
Il secondo filone, FakeUpdates (noto anche come SocGholish), simula un prompt di aggiornamento del browser: una pagina sovrapposta al sito legittimo mostra un finto avviso di aggiornamento critico per Chrome, Firefox o Edge, invitando a scaricare un file .zip o .js che contiene il dropper.
La novità documentata da SilentPush nella campagna DriveSurge è l’estensione a macOS: oltre ai target Windows classici, il sistema zTDS identifica i visitatori Apple e li reindirizza verso una variante della campagna che distribuisce script JavaScript malevoli ottimizzati per l’ecosistema macOS, scaricando payload .dmg o .pkg firmati con certificati sviluppatore ottenuti fraudolentemente.
Infrastruttura e scala dell’operazione
La campagna sfrutta migliaia di siti web WordPress, Joomla e Magento compromessi come stager di primo livello: il codice iniettato nel sito vittima è minimo e difficile da rilevare — spesso poche righe di JavaScript offuscato aggiunte a file tema o plugin — che si limita a interrogare l’infrastruttura zTDS per decidere se mostrare o meno il lure al visitatore.
Questa architettura “many-to-one” offre a DriveSurge una resilienza elevata: anche se decine di siti vengono ripuliti, l’infrastruttura centrale rimane intatta e la campagna continua su altri domini. Il sistema zTDS applica anche un meccanismo di frequency capping: lo stesso indirizzo IP non riceve il lure più di una volta in una finestra temporale definita, riducendo il rischio che ricercatori di sicurezza o sistemi automatizzati di crawling identifichino i siti compromessi.
Implicazioni per i difensori
La campagna DriveSurge richiede un approccio difensivo stratificato, poiché aggira molti controlli tradizionali:
- Blocco delle esecuzioni PowerShell da clipboard: configurare Windows Defender Application Control (WDAC) o AppLocker per limitare l’esecuzione di PowerShell non firmato lanciato interattivamente riduce drasticamente l’efficacia di ClickFix.
- Proxy DNS con blocco dei redirect sospetti: i sistemi zTDS usano catene di redirect multi-hop; una soluzione DNS filtering (Cisco Umbrella, Cloudflare Gateway) che blocchi i redirect a dominio nuovo può interrompere la catena prima che la vittima veda il lure.
- Awareness degli utenti: il vettore ClickFix è efficace perché convincente — investire in training specifico su “nessun sito legittimo ti chiede mai di aprire PowerShell e incollare comandi” ha un ROI alto.
- Monitoraggio dei processi figli di browser: un browser che lancia
powershell.exe,cmd.exeowscript.execome processo figlio è un segnale forte di ClickFix in esecuzione — aggiungere questa detection nelle regole EDR. - Hardening dei CMS: verificare regolarmente l’integrità dei file JavaScript dei propri siti WordPress/Joomla/Magento — i propri siti potrebbero essere già usati come stager di DriveSurge a insaputa degli amministratori.
DriveSurge dimostra che ClickFix e FakeUpdates non sono tecniche in declino: l’adozione di un TDS sofisticato come zTDS e l’espansione a macOS segnalano un investimento operativo continuo e una struttura criminale in crescita. La semplicità del vettore — fare in modo che sia l’utente a eseguire il malware — lo rende uno degli attacchi più difficili da bloccare con soli controlli tecnici.