Die Bedrohungslage wird konkret: Tausende Websites wurden in den DriveSurge-Kampagnen kompromittiert. Die Sicherheitsforscher von SilentPush haben eine hochentwickelte Infrastruktur aufgedeckt, die Besucher automatisch klassifiziert und ihnen die am wirkungsvollsten erscheinende Malware-Variante zuweist.
Das Herzstück der Operation ist zTDS (eine Open-Source-Traffic-Distribution-System), die DriveSurge seit mindestens September 2025 einsetzt. Das System profiliert Websitebesucher und entscheidet automatisch, ob eine FakeUpdate- oder ClickFix-Lure am effektivsten ist. Die Täuschungen sind raffiniert: FakeUpdates simulieren Update-Hinweise für Chrome, Firefox, Edge, Safari, Opera, Brave, Yandex, Vivaldi, Samsung Internet und UC Browser. Ein Beispiel: Ein gefälschter Firefox-Update-Dialog lädt ein ZIP-Archiv herunter, das mehrere DLLs und eine schädliche Datei namens „Browser Update.exe” enthält.
ClickFix-Angriffe sind noch direkter: Sie locken Nutzer mit angeblichen Sicherheitsproblemen, um sie zur Ausführung von PowerShell-Befehlen zu bewegen – oft mit fatalen Folgen. Die Forscher haben acht technische Fingerabdrücke identifiziert, die DriveSurge-Infrastruktur verraten, einschließlich JavaScript-Injektionen mit dem Muster „t.js?site=
Besonders bemerkenswert: Die Kampagne richtet sich nicht nur an Windows-Nutzer. SilentPush entdeckte auch obfuszierten JavaScript-Code, der speziell auf macOS-Systeme abzielt. Dies zeigt die Professionalität und Reichweite der Operation.
Die Forscher identifizierten über 80 bösartige Injektions-Domains und eine Reihe von vorbereiteten Domains, die noch nicht im Einsatz sind – ein Hinweis auf geplante Expansionen.
Deutsche Nutzer sollten dringend beherzigen: Browser-Updates nur über das Einstellungsmenü (Über > Nach Updates suchen) durchführen. Befehle in der Eingabeaufforderung oder im Terminal sollten nie blind ausgeführt werden. Arbeitgeber müssen ihre Teams über diese Techniken aufklären – die DSGVO macht sie bei Datenpannen zur Meldung verpflichtet.