SOC Prime Bias: Moyen

03 Jun 2026 16:20 UTC
newspaper icon Silent Push

DriveSurge Usa ClickFix e Ataques Drive-By de Falsa Atualização em Escala

Author Photo
SOC Prime Team linkedin icon Seguir
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

DriveSurge é um emergente corretor de acesso inicial que compromete websites legítimos e injeta JavaScript malicioso para canalizar visitantes através de um sistema de distribuição de tráfego de código aberto conhecido como zTDS. O ator então fornece páginas falsas de atualização de navegador ou prompts do estilo ClickFix que entregam malware a usuários de macOS e Windows através de downloads enganosos ou comandos PowerShell maliciosos. Sua infraestrutura inclui milhares de .icu domínios registrados através da NiceNIC e hospedados em infraestrutura à prova de balas. A campanha é ampla em escopo e visa usuários em vários navegadores e sistemas operacionais.

Investigação

Pesquisadores identificaram oito impressões digitais técnicas distintas ligadas à operação, incluindo nomes de arquivos JavaScript característicos, como t.js, t..js, e ext-b..js, juntamente com características recorrentes do servidor, como nginx e hashes JARM específicos. O mapeamento da infraestrutura baseou-se em pesquisa de domínios, pivôs de email WHOIS e análise de websites comprometidos, incluindo jclforwarding.com. A equipe também extraiu URLs de entrega de payloads, servidores de comando e controle, e documentou comportamento de sequestro de área de transferência voltado especificamente para vítimas em macOS.

Mitigação

As organizações devem monitorar os padrões de injeção de JavaScript documentados, a presença de arquivos relacionados ao zTDS, como jsrepo com o rnd parâmetro, e conexões de saída para endereços IP de hospedagem à prova de balas conhecidos. Defensores devem bloquear .icu domínios registrados através da NiceNIC que correspondem às impressões digitais identificadas e aplicar políticas de segurança de conteúdo estritas a ativos web voltados para a internet. Proteções de endpoint também devem ser capazes de detectar cadeias de comandos PowerShell e Bash codificadas em Base64 usadas na entrega.

Resposta

Se for detectada atividade do DriveSurge, os ativos web afetados devem ser isolados imediatamente, o JavaScript malicioso removido, e qualquer registro de domínio comprometido revisado ou revogado. Os domínios e endereços IP identificados devem ser bloqueados no perímetro da rede. As equipes de segurança também devem realizar análise forense em qualquer sistema que tenha executado comandos de download maliciosos e redefinir quaisquer credenciais expostas. Indicadores relevantes devem ser compartilhados com ISACs da indústria e parceiros de confiança.

graph TB %% Definições de classes classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 classDef process fill:#ff9966 classDef operator fill:#ff9900 %% Nós node_initial_access[“<b>Ação</b> – <b>T1189 Comprometimento por drive-by</b><br/><b>Descrição</b>: Compromisso de sites de alta reputação com injeção de JavaScript malicioso.<br/><b>Resultado</b>: O navegador da vítima carrega código malicioso.”] class node_initial_access action node_content_injection[“<b>Ação</b> – <b>T1659 Injeção de conteúdo</b><br/><b>Descrição</b>: Scripts injetados (t.js, ext-b, jsrepo) carregam o sistema de distribuição de tráfego zTDS.<br/><b>Scripts</b>: t.js, ext-b, jsrepo.”] class node_content_injection action tool_ztds[“<b>Ferramenta</b> – zTDS Sistema de distribuição de tráfego<br/><b>Propósito</b>: Servir JavaScript malicioso para navegadores comprometidos.”] class tool_ztds tool malware_jsrepo[“<b>Malware</b> – jsrepo<br/><b>Papel</b>: Script carregador ofuscado que entrega URLs de payload.”] class malware_jsrepo malware node_obfuscation[“<b>Ação</b> – Ofuscação de comandos<br/><b>Técnicas</b>: T1027.010, T1027.007, T1027.018<br/><b>Descrição</b>: JavaScript em base64, uso de atob, concatenação e Unicode invisível para ocultar URLs.”] class node_obfuscation action node_fake_updates[“<b>Ação</b> – <b>T1554 Atualizações falsas</b><br/><b>Descrição</b>: Páginas falsas de atualização induzem download de binários maliciosos.<br/><b>Relacionado</b>: T1204.004 Execução pelo usuário.”] class node_fake_updates action node_copy_paste[“<b>Ação</b> – <b>T1204.004 Copiar e colar malicioso</b><br/><b>Descrição</b>: A vítima copia comandos de páginas falsas e executa no terminal.”] class node_copy_paste action node_clickfix[“<b>Ação</b> – <b>T1684 ClickFix engenharia social</b><br/><b>Descrição</b>: Falsos erros substituem a área de transferência com comandos em base64.<br/><b>Técnica relacionada</b>: T1115 sequestro da área de transferência.”] class node_clickfix action node_clipboard_hijack[“<b>Ação</b> – <b>T1115 Sequestro da área de transferência</b><br/><b>Descrição</b>: O atacante sobrescreve o clipboard com comandos maliciosos.”] class node_clipboard_hijack action node_browser_hijack[“<b>Ação</b> – <b>T1185 Sequestro de sessão do navegador</b><br/><b>Descrição</b>: Sites comprometidos redirecionam tráfego via zTDS para domínios controlados pelo atacante.”] class node_browser_hijack action node_payload_delivery[“<b>Ação</b> – <b>T1133 Serviços remotos externos, T1105 Transferência de ferramentas</b><br/><b>Descrição</b>: Scripts usam curl/wget para baixar payloads secundários para macOS.”] class node_payload_delivery action tool_curl[“<b>Ferramenta</b> – curl<br/><b>Propósito</b>: Transferência de arquivos a partir do servidor atacante.”] class tool_curl tool tool_wget[“<b>Ferramenta</b> – wget<br/><b>Propósito</b>: Transferência de arquivos a partir do servidor atacante.”] class tool_wget tool process_download[“<b>Processo</b> – script de download<br/><b>Ação</b>: Executa curl/wget para obter binários macOS.”] class process_download process node_c2[“<b>Ação</b> – <b>T1102.002 Comunicação bidirecional via serviço web</b><br/><b>Descrição</b>: Malware comunica com C2 via HTTPS e injeção de conteúdo para atualizações.”] class node_c2 action node_ad_distribution[“<b>Ação</b> – <b>T1596.004 Sistema de distribuição de anúncios</b><br/><b>Descrição</b>: Anúncios maliciosos e CDNs distribuem payloads.”] class node_ad_distribution action %% Conexões node_initial_access –>|usa| node_content_injection node_content_injection –>|carrega| tool_ztds node_content_injection –>|entrega| malware_jsrepo malware_jsrepo –>|executa| node_obfuscation node_obfuscation –>|habilita| node_fake_updates node_fake_updates –>|ativa| node_copy_paste node_copy_paste –>|leva a| node_clickfix node_clickfix –>|usa| node_clipboard_hijack node_clipboard_hijack –>|leva a| node_browser_hijack node_browser_hijack –>|redireciona para| node_payload_delivery node_payload_delivery –>|usa| tool_curl node_payload_delivery –>|usa| tool_wget node_payload_delivery –>|entrega| process_download process_download –>|executa| node_c2 node_c2 –>|comunica via| node_ad_distribution

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria & Base deve ter sido aprovado.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa de Ataque & Comandos

    1. Etapa 1 – Implante o payload malicioso:
      Um atacante faz o upload de um arquivo JavaScript nomeado t.js (ou um nome baseado em hash) no servidor web comprometido. O arquivo contém um trecho de DriveSurge que contrabandeia HTML que busca silenciosamente payloads adicionais.

    2. Etapa 2 – Requisição da vítima:
      O navegador da vítima (simulado com curl) solicita o arquivo malicioso, produzindo uma entrada de log onde o URI da requisição corresponde à expressão regular Sigma.

    3. Etapa 3 – Geração de alerta:
      O SIEM ingere a linha de log de acesso, a regra Sigma avalia o nome do arquivo campo, e o alerta é gerado.

  • Script de Teste de Regressão

    #!/usr/bin/env bash
set -euo pipefail

# --- Variáveis --------------------------------------------------
WEB_ROOT="/var/www/html"
MALICIOUS_NAME="t.js"
MALICIOUS_PATH="${WEB_ROOT}/${MALICIOUS_NAME}"
MALICIOUS_CONTENT='console.log("DriveSurge payload executado");'

# --- Implantar JavaScript malicioso -----------------------------
echo "${MALICIOUS_CONTENT}" | sudo tee "${MALICIOUS_PATH}" > /dev/null
sudo chown www-data:www-data "${MALICIOUS_PATH}"
sudo chmod 644 "${MALICIOUS_PATH}"

# --- Dar ao Apache um momento para notar o novo arquivo --------
sleep 2

# --- Simular solicitação da vítima (gera telemetria) ------------
curl -s -o /dev/null "http://localhost/${MALICIOUS_NAME}"

# --- Opcional: saída da linha registrada para revisão manual ----
echo "=== Entrada recente de log do Apache para verificação ==="
sudo tail -n 5 /var/log/apache2/access.log | grep "${MALICIOUS_NAME}" || echo "Entrada de log não encontrada"

  • Comandos de Limpeza

    #!/usr/bin/env bash
set -euo pipefail

WEB_ROOT="/var/www/html"
MALICIOUS_NAME="t.js"
MALICIOUS_PATH="${WEB_ROOT}/${MALICIOUS_NAME}"

# Remover o arquivo malicioso
sudo rm -f "${MALICIOUS_PATH}"
echo "Limpou ${MALICIOUS_PATH}"

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente