Silent Push ordnet DriveSurge als Initial Access Broker ein. Laut dem kürzlich veröffentlichten Bericht nutzt die Operation ein Pay-per-Install-Modell, um „nachgelagerten Bedrohungsakteuren hochwertige Opfer-Zugänge“ zu liefern. Für Waseem Ahmed, Leiter Engineering bei Secure.com, liegt die Besonderheit nicht nur in ClickFix- und FakeUpdate-Ködern an sich, sondern in deren Skalierung und dem dahinterstehenden Geschäftsmodell.
Kern der Operation ist nach Angaben von Silent Push das Traffic Distribution System zTDS. Kompromittierte Websites setzen demnach zTDS-Domains ein, um Besucherströme an Seiten für ClickFix- und FakeUpdate-Angriffe weiterzuleiten. Im Bericht heißt es, DriveSurge kapere „tausende legitime Websites mit hohem Ruf“ und leite Besucher stillschweigend zu Malware um, ohne dass Betreiber oder Nutzer dies bemerken.
Die Forscher beschreiben die Infrastruktur als umfangreich. Dazu gehören Payload-Repositories, PowerShell-Downloader, Staging-Server und mehrere Fallback-Domains, damit die Operation auch dann funktionsfähig bleibt, wenn Teile davon abgeschaltet werden. Zur Verschleierung setzen die Angreifer laut Silent Push auf JavaScript mit Base64-Codierung, dynamischer URL-Erzeugung und Failover-Logik, um Schadcode nachzuladen und einer Erkennung zu entgehen.
Ein weiterer Baustein ist eine stark verschleierte Nutzlast, die Opfer detailliert profiliert. Die Malware erfasst laut Bericht Merkmale des Betriebssystems, kommuniziert mit von den Angreifern kontrollierten Endpunkten und baut ihre Nutzlast je nach Plattform dynamisch zusammen. Dass neben Windows auch macOS im Fokus steht, wertet der Bericht als Hinweis auf die wachsende Bedeutung von Apple-Systemen als Angriffsziel.
Aus Sicht der Opfer beginnt der Angriff mit dem Besuch einer legitimen, aber kompromittierten Website, etwa von Unternehmen, professionellen Dienstleistern oder lokalen Organisationen. Im Hintergrund injizierter Schadcode leitet den Besucher über zTDS weiter, das ihn profiliert und entscheidet, welcher Köder ausgeliefert wird.
Laut Silent Push treten typischerweise zwei Szenarien auf. Im ersten Fall erscheint ein gefälschtes Browser-Update, das sich als Update für Google Chrome, Mozilla Firefox, Microsoft Edge, Safari, Opera Browser, Brave Browser, Yandex Browser, Vivaldi, Samsung Internet, UC Browser oder eine sonstige Browser-Kategorie ausgibt. Der Nutzer soll ein vermeintlich legitimes Update herunterladen, tatsächlich handelt es sich um Malware.
Im zweiten Fall kommt ein ClickFix-Angriff zum Einsatz. Dabei sieht der Nutzer eine gefälschte Fehlermeldung, die ihn auffordert, eine „Reparatur“ in Terminal oder PowerShell zu kopieren und einzufügen. Hinter der angeblichen Lösung steckt jedoch ein schädlicher Befehl, der Malware direkt auf dem System installiert.
Die Forscher beobachteten jeweils ein Beispiel beider Varianten. Bei einem FakeUpdate-Angriff auf die kompromittierte Website jclforwarding[.]com lieferte die bösartige Domain check[.]first-node[.]rocks eine gefälschte Mozilla-Firefox-Update-Seite aus. Diese veranlasste den Download einer ZIP-Datei mit mehreren DLL-Dateien und einer „Browser Update[.]exe“. Zudem registrierte Silent Push einen ClickFix-Angriff, der versuchte, schädlichen Code von der IP-Adresse 91.92.240[.]127 nachzuladen. Diese Adresse war laut Bericht bereits in den Bulletproof-Hosting-Indikatoren für künftige Angriffe von Silent Push aufgeführt.
Zur Erkennung empfiehlt Silent Push unter anderem die Überwachung unerwarteter ausgehender Verbindungen zu neu registrierten oder wenig vertrauenswürdigen Domains, Browser-Update-Aufforderungen von Nicht-Hersteller-Domains sowie Nutzer, die Terminal-, PowerShell- oder Shell-Befehle aus Websites heraus ausführen. Hilfreich seien außerdem verdächtige JavaScript-Injektionen auf extern erreichbaren Webservern sowie die von Silent Push bereitgestellten Kompromittierungsindikatoren zur zTDS-Infrastruktur und zu ClickFix-Lieferketten der Kampagne.