Auf den Punkt: DriveSurge kompromittiert tausende legitime Webseiten, um per zTDS-Verkehrssteuerung Besucher unbemerkt mit FakeUpdates oder ClickFix-Manipulationen zu infizieren und Systemzugang an andere Kriminelle zu verkaufen.
Die Bedrohungsgruppe DriveSurge kompromittiert tausende seriöse Webseiten, um Besucher auf Malware-Infrastruktur umzuleiten und Initial Access an andere Cyberkriminelle zu verkaufen. Das Sicherheitsunternehmen SilentPush dokumentiert Angriffe mit zTDS, gefälschten Browser-Updates und ClickFix-Manipulationen seit mindestens September 2025.
DriveSurge operiert als Initial Access Broker: Die Gruppe kappt legitime Webseiten mit hohem Ruf und leitet Besucher unbemerkt auf eine bösartige Verteilungsinfrastruktur. Der initialen Zugang wird anschließend im Pay-Per-Install-Modell an andere Cyberkriminelle verkauft, die Ransomware-, Spionage- oder Datendiebstahl-Angriffe anschließen.
Kernkomponente ist das Traffic Distribution System zTDS, eine seit mindestens 2015 bekannte quelloffene Anwendung zur Verkehrssteuerung. Nach dem Aufruf einer kompromittierten Webseite leitet zTDS den Besucher im Hintergrund um und profiliert ihn in Echtzeit: Betriebssystem, Browsertyp und geografischer Standort werden erfasst, um die wirksamste Infektionsstrategie auszuwählen.
DriveSurge setzt zwei Angriffsszenarien um. FakeUpdates zeigt gefälschte Update-Aufforderungen für Chrome, Firefox, Edge, Safari, Opera, Brave, Yandex, Vivaldi, Samsung Internet und UC Browser an und lädt schädliche ZIP-Archive herunter (beispielsweise „Browser Update.exe“ mit Dynamic Link Libraries). ClickFix ist eine Social-Engineering-Taktik, die dem Nutzer ein vermeintliches Ladefehler-Problem suggeriert und zur manuellen Eingabe einer Befehlszeile in Windows-Eingabeaufforderung oder PowerShell auffordert. Sicherheitsanalysten von SilentPush identifizierten auch auf macOS ausgerichtete Varianten mit verschleiertem JavaScript, die die Zwischenablage kapert und schadhafte Terminal-Befehle einschleust.
Die Forscher isolierten acht spezifische technische Fingerabdrücke zur Identifikation der DriveSurge-Infrastruktur und kompromittierten Webseiten. Für CISOs bedeutet dies: Ein Abgleich verdächtiger Infrastruktur-Merkmale gegen diese Signaturen kann Benutzerverkehr auf aktive Kampagnen hin scannen und frühzeitig erkennen, wenn interne Systeme mit zTDS-Systemen in Kontakt geraten.
Quelle: www.it-daily.net · Erschienen 7. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.