Тысячи легитимных сайтов незаметно для владельцев начали работать как воронка для заражения: посетителей уводят на поддельные обновления браузера и страницы с фальшивыми инструкциями по «исправлению» ошибки. Для русскоязычной IT-аудитории здесь важен не только масштаб, но и механика: ClickFix-атаки больше не выглядят как кустарная разводка, а превращаются в промышленный сервис по продаже первичного доступа в корпоративные системы.
Об этой операции пишет Dark Reading со ссылкой на исследование Silent Push. Аналитики назвали кампанию DriveSurge и описывают ее как зрелую схему initial access broker, то есть брокера первичного доступа. Проще говоря, одна группа не обязательно шифрует данные или крадет деньги сама: она организует поток жертв, заражает их и затем продает доступ тем, кто будет работать дальше. В этой истории важен и срок жизни инфраструктуры. Один из вредоносных сайтов, задействованных в кампании, по данным исследователей, работал как минимум с сентября 2025 года, а саму активность обнаружили только в феврале 2026-го. Для операции такого масштаба почти год тишины выглядит не случайностью, а признаком хорошо отлаженного процесса.
Техническая основа DriveSurge — система распределения трафика, или TDS. В данном случае злоумышленники используют вариант с открытым исходным кодом под названием zTDS, который существует как минимум с 2015 года. Сценарий выглядит так: пользователь открывает сайт компании, локальной организации или профессиональной фирмы, не подозревая, что тот уже скомпрометирован. В страницу заранее внедрен скрытый JavaScript, который отправляет посетителя через TDS. Дальше система профилирует жертву: определяет характеристики среды, смотрит на платформу и уже после этого решает, что показать. Это может быть фейковое обновление браузера, а может быть классическая страница ClickFix с «ошибкой» и предложением вручную вставить команду в PowerShell или терминал. Именно ручной запуск и делает ClickFix-атаки особенно неприятными: пользователь сам обходит часть стандартных защит браузера и ОС.
Сама инфраструктура кампании, судя по описанию Silent Push, собрана не на коленке. Исследователи обнаружили хранилища полезной нагрузки, PowerShell-загрузчики, промежуточные серверы и резервные домены на случай блокировок. Для маскировки используются обфусцированный JavaScript, Base64-кодирование, динамическая сборка URL и логика отказоустойчивости, позволяющая подхватывать вредоносный код с альтернативных площадок. Отдельный слой — профилирование жертвы. Код собирает сведения о системе, связывается с узлами под контролем атакующих и подбирает полезную нагрузку под конкретную платформу. Это уже не «всем один EXE-файл», а нормальная развилка доставки под разные сценарии заражения. Важно и то, что целью становятся не только Windows-машины, но и macOS, что еще раз показывает: миф о «менее интересной для злоумышленников» платформе окончательно устарел.
У исследователей были и конкретные наблюдения. В одном случае на скомпрометированном сайте jclforwarding[.]com они увидели FakeUpdate-цепочку: вредоносный домен check[.]first-node[.]rocks показывал поддельную страницу обновления Mozilla Firefox, после чего жертве предлагали скачать ZIP-архив с несколькими DLL и файлом Browser Update[.]exe. В другом эпизоде была зафиксирована ClickFix-схема, пытавшаяся подтянуть код с IP-адреса 91.92.240[.]127. Этот адрес уже фигурировал в индикаторах, связанных с bulletproof hosting. Набор брендов для поддельных апдейтов тоже показателен: злоумышленники имитировали обновления Chrome, Firefox, Edge, Safari, Opera, Brave, Yandex Browser, Vivaldi, Samsung Internet, UC Browser и даже оставили универсальную категорию «другой браузер». То есть расчет не на узкую аудиторию, а на максимально широкий охват без лишней экзотики.
Эксперты, которых цитирует издание, отдельно подчеркивают бизнес-модель схемы. Руководитель инженерного направления Secure.com Васим Ахмед отмечает, что поддельные обновления и ClickFix уже давно используются как входная точка, но в DriveSurge выделяется именно масштаб и коммерциализация. Его мысль проста: это уже не один взломщик, который лезет в конкретную сеть, а структура, которая тихо эксплуатирует тысячи взломанных, но уважаемых сайтов и потом продает доступ желающим. Для бизнеса здесь неприятная новость в том, что доверие к «нормальному сайту» больше не работает как базовая эвристика безопасности. Если маркетинговый сайт, сайт логистической компании или локальной ассоциации внезапно стал промежуточной площадкой для заражения, то классическая логика allowlist по репутации домена начинает заметно проседать.
Для разработчиков и ИБ-команд вывод тоже вполне прикладной. Во-первых, надо смотреть не только на входящий периметр, но и на то, что происходит на собственных веб-ресурсах: инъекции JavaScript, неожиданные внешние скрипты, обращения к недавно зарегистрированным или низкорепутационным доменам, странные редиректы на стороне клиента. Во-вторых, защита от ClickFix-атак упирается не только в EDR или браузерные политики, но и в поведение людей. Если сотрудник по инструкции с веб-страницы открывает PowerShell, Terminal или shell и вставляет туда неизвестную команду, часть технических барьеров уже обойдена его же руками. Старший исследователь Sectigo Джейсон Сороко в комментарии Dark Reading советует командам безопасности подключать потоки актуальной threat intelligence для блокировки доменов DriveSurge и отдельно учить сотрудников не доверять внезапным «ошибкам» и «обновлениям», пришедшим не с доменов вендора.
На этом фоне DriveSurge выглядит не просто очередной вредоносной кампанией, а показателем сдвига рынка атак: социальная инженерия все плотнее упаковывается в сервисную модель, где есть масштаб, отказоустойчивость и специализация по ролям. Если такая схема может почти год жить на тысячах легитимных сайтов, то следующий логичный вопрос для отрасли звучит неприятно: сколько еще похожих конвейеров уже работает в фоне, пока компании по привычке ищут угрозу только в письмах, вложениях и исполняемых файлах.