Bei zTDS handelt es sich laut Silent Push um ein quelloffenes Traffic Distribution System, das seit mindestens 2015 existiert und das DriveSurge seit mindestens September 2025 nutzt. „Mit zTDS kapert DriveSurge tausende legitime, hoch angesehene Websites und leitet Besucher unbemerkt auf Malware um – ohne Wissen der Seitenbetreiber oder ihrer Besucher“, erklärt Silent Push.

Die FakeUpdates-Köder enthalten gefälschte Update-Hinweise für Chrome, Firefox, Edge, Safari, Opera, Brave, Yandex, Vivaldi, Samsung Internet und UC Browser. Die ClickFix-Angriffe setzen dagegen auf PowerShell-Befehle. Ein im Bericht von Silent Push hervorgehobener Fall betrifft ein gefälschtes Firefox-Update, das ein ZIP-Archiv mit mehreren DLL-Dateien und einer schädlichen ausführbaren Datei namens „Browser Update.exe“ herunterlud.

Die Forscher identifizierten acht technische Fingerabdrücke, die mit der Kampagne verbunden sind und halfen, die Infrastruktur von DriveSurge sowie kompromittierte Websites aufzuspüren. Dazu zählt eine JavaScript-Injektion nach dem Muster „t.js?site=<id>“, wobei <id> ein eindeutiger Wert ist, der jeder kompromittierten Website zugewiesen wird.

Im Zuge ihrer Analyse stieß Silent Push auf mehr als 80 bösartige Injektionsdomains sowie auf eine Reihe vorab präparierter Domains, die noch nicht für Angriffe eingesetzt worden waren. Zusätzlich entdeckten die Forscher einen verschleierten JavaScript-Payload, der gezielt auf macOS-Desktopsysteme ausgerichtet ist. Er wird über verifizierungsbezogene ClickFix-Angriffe ausgeliefert, die die Zwischenablage kapern – ein Hinweis darauf, dass sich die Kampagne über Windows hinaus erstreckt.

Silent Push rät, Browser-Updates ausschließlich über das Einstellungsmenü der jeweiligen Anwendung zu beziehen (Über > Nach Updates suchen) und keine Befehle in der Windows-Eingabeaufforderung oder im Terminal auszuführen, die man nicht vollständig versteht.