Thought Leadership
Die Kampagne DriveSurge nutzt zTDS, FakeUpdates und Clipboard-Hijacking, um Besucher gekaperter Webseiten unbemerkt mit Schadsoftware zu infizieren.
Die IT-Sicherheitslandschaft sieht sich mit einer weitreichenden Schadsoftware-Kampagne konfrontiert, die von einer als DriveSurge nachverfolgten Bedrohungsgruppe gesteuert wird. Nach aktuellen Erkenntnissen von Forschern des Cybersecurity-Unternehmens SilentPush manipuliert dieser Akteur systematisch tausende legitime Webseiten mit einer hohen Reputation.
Das primäre Ziel von DriveSurge ist es nicht, die infizierten Webseiten direkt zu zerstören oder zu verändern, sondern die eintreffenden Besucherströme unbemerkt auf eine bösartige Verteilungsinfrastruktur umzuleiten. Die Gruppe agiert in diesem Ökosystem vorwiegend als ein Initial Access Broker. Dies bedeutet, dass die Angreifer den initialen Zugang zu den Opfersystemen herstellen, um diesen anschließend über ein Pay-Per-Install-Modell an andere cyberkriminelle Akteure zu verkaufen, die dann Folgeantriffe wie Ransomware-Invasionen oder Datendiebstähle durchführen.
Profilierung der Webseitenbesucher durch das System zTDS
Um die Effizienz der Infektionen zu maximieren, setzt DriveSurge auf ein sogenanntes Traffic Distribution System namens zTDS. Bei zTDS handelt es sich um eine quelloffene Anwendung zur Verkehrssteuerung, die bereits seit mindestens 2015 in der Cyberkriminalität bekannt ist. Der Akteur DriveSurge nutzt dieses System nachweislich seit mindestens September 2025.
Sobald ein regulärer Nutzer eine der kompromittierten Webseiten aufruft, wird er im Hintergrund über das zTDS umgeleitet. Das System führt in Echtzeit eine Profilierung des Besuchers durch, analysiert Parameter wie das verwendete Betriebssystem, den Browsertyp und den geografischen Standort und entscheidet auf dieser Basis, welche Angriffsform am erfolgversprechendsten ist. Die Forscher von SilentPush dokumentierten diesen Vorgang:
„Mithilfe von zTDS kapert DriveSurge Tausende von legitimen Websites mit hohem Ruf und leitet Besucher unbemerkt von den Eigentümern der Websites oder ihren Besuchern auf Malware um.“
SilentPush
Die Taktiken FakeUpdates und ClickFix unter Windows und macOS
Das zTDS steuert primär zwei unterschiedliche Angriffs-Szenarien an. Das erste Szenario umfasst die Methode FakeUpdates. Hierbei wird dem Nutzer eine gefälschte Update-Aufforderung im Browser eingeblendet, die eine dringende Aktualisierung des Browsers suggeriert. Die Kampagne imitiert die Benutzeroberflächen namhafter Browser wie Chrome, Firefox, Edge, Safari, Opera, Brave, Yandex, Vivaldi, Samsung Internet und UC Browser. Ein im Bericht von SilentPush hervorgehobener Fall zeigt eine gefälschte Firefox-Aktualisierung, bei der ein komprimiertes ZIP-Archiv heruntergeladen wurde. Dieses Archiv enthielt mehrere Dynamic Link Libraries sowie eine schadhafte ausführbare Datei mit dem Namen Browser Update.exe.
Das zweite Szenario nutzt die ClickFix-Taktik, eine manipulative Social-Engineering-Methode. Dem Nutzer wird ein vermeintlich technisches Problem beim Laden der Webseite angezeigt, verbunden mit der Aufforderung, eine bereitgestellte Befehlszeile zu kopieren und diese manuell in die Windows-Eingabeaufforderung oder die PowerShell einzufügen. Folgt der Anwender dieser Anweisung, führt das System unbemerkt den Schadcode des Angreifers aus. Die Analysen zeigen, dass diese Kampagne nicht auf Windows-Systeme beschränkt bleibt. Die Forscher entdeckten eine verschleierte JavaScript-Nutzlast, die gezielt auf macOS-Desktop-Systeme ausgerichtet ist. Über verifikationsbasierte ClickFix-Täuschungen wird die Zwischenablage des Mac-Betriebssystems gekapert, um schadhafte Terminal-Befehle einzuschleusen.
Technische Fingerabdrücke und Erkennungsmuster der Kampagne
Zur Identifikation der DriveSurge-Infrastruktur und der kompromittierten Webseiten konnten die Sicherheitsanalysten insgesamt acht spezifische technische Fingerabdrücke isolieren. Ein zentrales Erkennungsmuster ist eine spezifische JavaScript-Injektion auf den betroffenen Webseiten, die einem festen strukturellen Muster folgt. Diese Injektion bindet ein Skript nach der Struktur t.js?site=id ein, wobei das ID-Feld einen eindeutigen, dem jeweiligen Webseiten-Opfer zugewiesenen Wert darstellt. Durch die systematische Überwachung dieses Musters identifizierte SilentPush mehr als 80 aktive Injektions-Domains, die direkt von der Bedrohungsgruppe kontrolliert werden.
Zudem stießen die Forscher auf eine Reihe von bereits registrierten und vorbereiteten Domains, die zum Zeitpunkt der Analyse noch nicht aktiv in die Angriffe eingebunden waren, jedoch als zukünftige Reserve-Infrastruktur dienen sollten. Zur Absicherung vor solchen Infektionen wird dringend empfohlen, Browser-Updates ausschließlich über das interne Einstellungsmenü der Anwendung aufzurufen und niemals unüberprüfte Befehlsketten in administrative System-Terminals einzufügen.
