SOC Prime Bias: Mittel

03 Jun 2026 16:32 UTC
newspaper icon Silent Push

DriveSurge nutzt ClickFix und gefälschte Update Drive-By-Angriffe im großen Stil

Author Photo
SOC Prime Team linkedin icon Folgen
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

DriveSurge ist ein aufkommender Initial Access Broker, der legitime Websites kompromittiert und bösartiges JavaScript einfügt, um Besucher durch ein Open-Source-Traffic-Distribution-System namens zTDS zu leiten. Der Akteur serviert dann gefälschte Browser-Aktualisierungsseiten oder ClickFix-ähnliche Aufforderungen, die Malware an macOS- und Windows-Benutzer über täuschende Downloads oder bösartige PowerShell-Befehle liefern. Seine Infrastruktur umfasst Tausende von .icu Domains, die über NiceNIC registriert und auf einer bulletproof Infrastruktur gehostet werden. Die Kampagne ist weitreichend und zielt auf Benutzer in mehreren Browsern und Betriebssystemen ab.

Untersuchung

Forscher identifizierten acht unterschiedliche technische Fingerabdrücke, die mit der Operation verbunden sind, einschließlich charakteristischer JavaScript-Dateinamen wie t.js, t..js, und ext-b..js, zusammen mit wiederkehrenden Servereigenschaften wie nginx und spezifische JARM-Hashes. Die Infrastrukturkartierung basierte auf Domain-Suchvorgängen, WHOIS-E-Mail-Pivots und der Analyse kompromittierter Websites, einschließlich jclforwarding.com. Das Team extrahierte auch Payload-Delivery-URLs, Command-and-Control-Server und dokumentierte das Verhalten von Clipboard-Hijacking, das speziell auf macOS-Opfer abzielt.

Minderung

Organisationen sollten die dokumentierten JavaScript-Injektionsmuster überwachen, das Vorhandensein von zTDS-bezogenen Dateien wie jsrepo mit dem rnd Parameter, und ausgehende Verbindungen zu bekannten bulletproof Hosting-IP-Adressen. Verteidiger sollten verdächtige .icu Domains blockieren, die über NiceNIC registriert sind und den identifizierten Fingerabdrücken entsprechen, sowie strikte Content Security Policies für öffentlich zugängliche Webressourcen anwenden. Endpunktschutzlösungen sollten auch in der Lage sein, die Base64-codierten PowerShell- und Bash-Befehlsketten zu erkennen, die bei der Lieferung verwendet werden.

Reaktion

Wenn DriveSurge-Aktivität erkannt wird, sollten betroffene Webressourcen sofort isoliert, bösartiges JavaScript entfernt und alle kompromittierten Domain-Registrierungen überprüft oder zurückgezogen werden. Die identifizierten Domains und IP-Adressen sollten am Netzwerkperimeter blockiert werden. Sicherheitsteams sollten auch eine forensische Analyse der Systeme durchführen, die die bösartigen Download-Befehle ausgeführt haben, und alle exponierten Anmeldeinformationen zurücksetzen. Relevante Indikatoren sollten mit Branchen-ISACs und vertrauenswürdigen Partnern geteilt werden.

graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 classDef process fill:#ff9966 classDef operator fill:#ff9900 %% Knoten node_initial_access[„<b>Aktion</b> – <b>T1189 Drive-by-Kompromittierung</b><br/><b>Beschreibung</b>: Kompromittierung hoch vertrauenswürdiger Websites und Einschleusen von schädlichem JavaScript.<br/><b>Ergebnis</b>: Der Browser des Opfers lädt schädlichen Code.“] class node_initial_access action node_content_injection[„<b>Aktion</b> – <b>T1659 Content Injection</b><br/><b>Beschreibung</b>: Eingeschleuste Skripte (t.js, ext-b, jsrepo) laden das zTDS-Traffic-Distribution-System.“] class node_content_injection action tool_ztds[„<b>Tool</b> – zTDS Traffic-Distribution-System<br/><b>Zweck</b>: Auslieferung schädlichen JavaScripts an kompromittierte Browser.“] class tool_ztds tool malware_jsrepo[„<b>Malware</b> – jsrepo<br/><b>Rolle</b>: Obfuskierter Loader zur Bereitstellung von Payload-URLs.“] class malware_jsrepo malware node_obfuscation[„<b>Aktion</b> – Code-Obfuskation<br/><b>Techniken</b>: T1027.010, T1027.007, T1027.018<br/><b>Beschreibung</b>: Base64, atob, Verkettung und unsichtbare Unicode-Zeichen zur Verschleierung von URLs.“] class node_obfuscation action node_fake_updates[„<b>Aktion</b> – <b>T1554 Gefälschte Updates</b><br/><b>Beschreibung</b>: Benutzer laden vermeintliche Updates herunter, die Malware enthalten.<br/><b>Bezug</b>: T1204.004 Benutzer-Ausführung.“] class node_fake_updates action node_copy_paste[„<b>Aktion</b> – <b>T1204.004 Bösartiges Kopieren und Einfügen</b><br/><b>Beschreibung</b>: Opfer kopiert Befehle von gefälschten Seiten in das Terminal.“] class node_copy_paste action node_clickfix[„<b>Aktion</b> – <b>T1684 ClickFix Social Engineering</b><br/><b>Beschreibung</b>: Falsche Fehler ersetzen die Zwischenablage durch Base64-Befehle.<br/><b>Bezug</b>: T1115 Clipboard Hijacking.“] class node_clickfix action node_clipboard_hijack[„<b>Aktion</b> – <b>T1115 Clipboard Hijacking</b><br/><b>Beschreibung</b>: Angreifer überschreiben die Zwischenablage mit schädlichen Befehlen.“] class node_clipboard_hijack action node_browser_hijack[„<b>Aktion</b> – <b>T1185 Browser Session Hijacking</b><br/><b>Beschreibung</b>: Kompromittierte Seiten leiten über zTDS auf Angreifer-Domains um.“] class node_browser_hijack action node_payload_delivery[„<b>Aktion</b> – <b>T1133 Externe Remote-Dienste / T1105 Tool-Transfer</b><br/><b>Beschreibung</b>: Skripte verwenden curl/wget zum Herunterladen von macOS-Payloads.“] class node_payload_delivery action tool_curl[„<b>Tool</b> – curl<br/><b>Zweck</b>: Dateiübertragung vom Angreifer-Server.“] class tool_curl tool tool_wget[„<b>Tool</b> – wget<br/><b>Zweck</b>: Dateiübertragung vom Angreifer-Server.“] class tool_wget tool process_download[„<b>Prozess</b> – Download-Skript<br/><b>Aktion</b>: Führt curl/wget aus, um macOS-Binärdateien abzurufen.“] class process_download process node_c2[„<b>Aktion</b> – <b>T1102.002 Bidirektionale Web-Kommunikation</b><br/><b>Beschreibung</b>: Malware kommuniziert über HTTPS und Content Injection mit C2.“] class node_c2 action node_ad_distribution[„<b>Aktion</b> – <b>T1596.004 Werbeverteilungssystem</b><br/><b>Beschreibung</b>: Malvertising und CDN-Ressourcen liefern Payloads aus.“] class node_ad_distribution action %% Verbindungen node_initial_access –>|nutzt| node_content_injection node_content_injection –>|lädt| tool_ztds node_content_injection –>|liefert| malware_jsrepo malware_jsrepo –>|führt aus| node_obfuscation node_obfuscation –>|aktiviert| node_fake_updates node_fake_updates –>|triggert| node_copy_paste node_copy_paste –>|führt zu| node_clickfix node_clickfix –>|nutzt| node_clipboard_hijack node_clipboard_hijack –>|führt zu| node_browser_hijack node_browser_hijack –>|leitet weiter zu| node_payload_delivery node_payload_delivery –>|nutzt| tool_curl node_payload_delivery –>|nutzt| tool_wget node_payload_delivery –>|liefert| process_download process_download –>|führt aus| node_c2 node_c2 –>|kommuniziert über| node_ad_distribution

Angriffsfluss

Simulationsausführung

Voraussetzung: Die Telemetrie- & Baseline Pre-flight Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Gegnertechnik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen müssen direkt die identifizierten TTP widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle

    1. Phase 1 – Bösartige Nutzlast bereitstellen:
      Ein Angreifer lädt eine JavaScript-Datei namens t.js (oder einen hash-basierten Namen) auf den kompromittierten Webserver hoch. Die Datei enthält ein DriveSurge-HTML-Schmuggel-Snippet, das lautlos zusätzliche Nutzlasten abruft.

    2. Phase 2 – Anfrage des Opfers:
      Ein Browser des Opfers (simuliert mit curl) fordert die bösartige Datei an und erzeugt einen Logeintrag, bei dem die Anforderungs-URI mit dem Sigma-Regex übereinstimmt.

    3. Phase 3 – Alarmgenerierung:
      Das SIEM erfasst die Zugriffs-Logzeile, die Sigma-Regel bewertet das Dateiname Feld, und der Alarm wird ausgelöst.

  • Regressionstest-Skript

    #!/usr/bin/env bash
set -euo pipefail

# --- Variablen -------------------------------------------------
WEB_ROOT="/var/www/html"
MALICIOUS_NAME="t.js"
MALICIOUS_PATH="${WEB_ROOT}/${MALICIOUS_NAME}"
MALICIOUS_CONTENT='console.log("DriveSurge-Nutzlast ausgeführt");'

# --- Bösartiges JavaScript bereitstellen --------------------------------
echo "${MALICIOUS_CONTENT}" | sudo tee "${MALICIOUS_PATH}" > /dev/null
sudo chown www-data:www-data "${MALICIOUS_PATH}"
sudo chmod 644 "${MALICIOUS_PATH}"

# --- Geben Sie Apache einen Moment, um die neue Datei zu bemerken ---------------
sleep 2

# --- Simulieren Sie eine Opferanfrage (erzeugt Telemetrie) ------------
curl -s -o /dev/null "http://localhost/${MALICIOUS_NAME}"

# --- Optional: geben Sie die protokollierte Zeile zur manuellen Überprüfung aus -------
echo "=== Jüngster Apache-Logeintrag zur Überprüfung ==="
sudo tail -n 5 /var/log/apache2/access.log | grep "${MALICIOUS_NAME}" || echo "Logeintrag nicht gefunden"

  • Bereinigungsbefehle

    #!/usr/bin/env bash
get -euo pipefail

WEB_ROOT="/var/www/html"
MALICIOUS_NAME="t.js"
MALICIOUS_PATH="${WEB_ROOT}/${MALICIOUS_NAME}"

# Die bösartige Datei entfernen
sudo rm -f "${MALICIOUS_PATH}"
echo "Bereinigt ${MALICIOUS_PATH}"

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten