Giriş
DriveSurge olarak bilinen bir siber tehdit grubu, binlerce web sitesinde büyük ölçekli zararlı yazılım dağıtım kampanyaları yürütmektedir. Bu kampanyalar, kullanıcıları kötü amaçlı yazılımlara yönlendiren ClickFix ve FakeUpdates tekniklerini içermekte olup, çevrimiçi güvenliği ciddi şekilde tehdit etmektedir.
Saldırı Nasıl Çalışıyor?
DriveSurge, çeşitli yöntemler kullanarak hedef kullanıcıları kandırmakta ve onları zararlı yazılım yüklemeye yönlendirmektedir:
- ClickFix: Kullanıcıları sahte bir teknik sorunu çözmeye ikna ederek, zararlı komutları kopyalayıp çalıştırmaya zorlar.
- FakeUpdates: Kullanıcılara sahte yazılım güncelleme bildirimleri göndererek, onları zararlı yazılımları indirmeye teşvik eder.
Bilgiler, SilentPush araştırmacıları tarafından sağlanmış olup, DriveSurge’ın başlangıç erişim aracısı (IAB) olarak çalıştığını ve takip eden saldırılar için bir ücretli kurulum modeli (PPI) kullandığını göstermektedir. Ayrıca, tehdit aktörleri, kullanıcıları zTDS adı verilen bir Trafik Dağıtım Sistemi aracılığıyla yönlendirmekte ve hangi tür saldırının daha uygun olduğunu belirlemektedir.
Etkilenen Sistemler
DriveSurge’ın hedef aldığı popüler tarayıcılara yönelik sahte güncelleme bildirimleri içermekte olan FakeUpdates saldırıları, aşağıdaki yazılımları taklit etmektedir:
- Chrome
- Firefox
- Edge
- Safari
- Opera
- Brave
- Yandex
- Vivaldi
- Samsung Internet
- UC Browser
ClickFix saldırıları ise PowerShell komutları içermektedir ve macOS kullanıcılarını hedef alabilen obfuscate edilmiş bir JavaScript yükü kullanmaktadır.
Çözüm ve Korunma
SilentPush’ın raporunda yer alan araştırmalar sonucunda, saldırının ipuçları olarak aşağıdaki teknik parmak izleri belirlenmiştir:
- t.js?site=
modeline dayanan JavaScript enjeksiyonu - 80’den fazla zararlı enjeksiyon alanı ve henüz kullanılmamış ön saldırı alanı tespit edilmiştir.
Kullanıcılara, tarayıcı güncellemelerini yalnızca uygulama ayarları menüsünden (Hakkında > Güncellemeleri Kontrol Et) indirmeleri ve tam olarak anlamadıkları komutları Windows komut istemcisinde veya Terminal’de çalıştırmamaları önerilmektedir.
Sonuç
Kullanıcıların, web tarayıcılarını ve diğer yazılımlarını güncel tutmaları, şüpheli yazılımları yüklemekten kaçınmaları ve yalnızca güvenilir kaynaklardan güncellemeleri indirmeleri gerekmektedir. Güvenlik önlemlerini artırmak amacıyla, mümkünse portları kapatmak ve ağ güvenlik duvarı yapılandırmalarını gözden geçirmek de önemlidir.
