北京
周三下午,网络安全公司Silent Push的研究员在追踪一批异常流量时,撞上了一个他们从未见过的威胁行为者。在此之前,全球数千个高信誉网站已经在网站所有者毫无察觉的情况下,被悄无声息地注入了恶意代码。每当有普通用户访问这些网站,一个看不见的分发系统就会启动,精准判断该给访客推送哪一套骗局。而这个被命名为DriveSurge的操作,几乎像一家成熟的商业公司一样,把感染受害设备的流程做成了规模化、自动化的生意。
Silent Push在向网络安全媒体分享的报告中明确指出,DriveSurge是近期网络上大规模爆发的“ClickFix”和虚假浏览器更新活动的主要推手。这一判断并非凭空而来。研究员从注入脚本的方式、域名注册的规律等多个维度,提取出了八个不同的技术指纹,清晰地勾勒出了DriveSurge背后的恶意基础设施。从这些细节里可以看到,操作者显然投入了大量时间,来打造一个可重复、可扩展的感染系统。这种工程化的思路,让DriveSurge和那些打个一枪换一个地方的零散攻击者彻底拉开了距离。
DriveSurge的商业模式也相当清晰。它扮演的是一个“初始访问经纪人”的角色,采用按安装付费的模式来运作。每成功感染一台受害设备,攻击者就能收到一笔钱。之后,这些已被确认的感染线索会被转卖给下游的其他威胁行为者,由他们继续在受害系统里植入更多的恶意软件、窃取数据或者进行其它破坏。在这种模式下,DriveSurge根本不需要关心后续的滥用行为是什么,它只专注于做好一件事:把尽可能多的初始感染点高效地交付出去。
让这套体系高效运转起来的关键,是一套复杂的流量分发系统。当用户打开一个已经被攻破的正规网站时,隐藏在页面里的代码并不会让所有人同时看到攻击内容。它会先对访客进行简要的画像分析,再决定下一步要呈现什么。最终,用户会遇到两种精心设计过的场景之一:要么弹出一个看上去和官方提示一模一样的浏览器更新页面,要么出现一条带有急迫感的报错信息,要求用户手动复制并粘贴一段命令到终端或PowerShell窗口里。前一种场景会诱导用户点击“更新”按钮,下载一个打包了动态链接库文件和伪装成更新程序的可执行文件的压缩包;后一种场景则会在用户照做之后,静默地从已标记的恶意IP地址处拉取并安装恶意软件。两种手法的共同点是,它们都利用了人们对常见界面和提示的本能信任,让人很难在第一眼就产生怀疑。
DriveSurge所针对的浏览器范围极广。根据Silent Push的分析,包括Google Chrome、Mozilla Firefox、Microsoft Edge、Safari、Opera、Brave、Yandex、Vivaldi、Samsung Internet和UC Browser在内,几乎所有主流浏览器都在它的攻击覆盖列表当中。这意味着无论受害者使用的是什么设备、什么浏览器,只要访问了被攻破的网站,就很有可能撞上量身定制的陷阱。而这一切,都是在网站本身的运营者完全不知情的情况下发生的——他们甚至可能从未察觉自己的网站已经被当作攻击跳板使用了多日。
一个没有名字、没有公开身份、至今仍隐藏在暗处的行动者,凭什么能够如此精确地拆解并复制出各大浏览器的官方交互界面?又是什么驱使着他们把攻击链条包装成一个自动化的流量分发工厂,并按照完全商业化的“按结果付费”方式对外输出?Silent Push的报告并没有给出关于行动者背景的结论,但所有这些技术细节拼凑在一起,已经足以让人对网络威胁的工业化速度感到困惑。这不再是某个孤立的黑客在暗角里手动部署木马的故事,而是一个已经被高度产品化的感染服务,正在通过成千上万个看起来完全可信的渠道,默默筛选并收割着每一个毫无防备的点击。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
