Χιλιάδες ιστότοποι παραβιάστηκαν για επιθέσεις ClickFix και FakeUpdate

Ερευνητές της εταιρείας κυβερνοασφάλειας Silent Push αποκάλυψαν τη δράση μιας νέας ομάδας κυβερνοεγκληματιών που εντοπίζεται ως DriveSurge. Χιλιάδες ιστότοποι έχουν παραβιαστεί σε εκστρατείες της DriveSurge με σκοπό την ανακατεύθυνση επισκεπτών σε υποδομές διανομής κακόβουλου λογισμικού. Σύμφωνα με τους ερευνητές της Silent Push, η DriveSurge λειτουργεί κυρίως ως μεσάζων αρχικής πρόσβασης (Initial Access Broker), δηλαδή πωλεί πρόσβαση σε παραβιασμένα συστήματα σε τρίτους με μοντέλο πληρωμής ανά εγκατάσταση (pay-per-install).

Πώς λειτουργεί το σύστημα zTDS

Το κύριο εργαλείο της DriveSurge είναι ένα Σύστημα Κατανομής Κίνησης (Traffic Distribution System, TDS) — και συγκεκριμένα μια ανοιχτού κώδικα παραλλαγή του που ονομάζεται zTDS, η οποία χρησιμοποιείται από τουλάχιστον το 2015 και είναι δημόσια διαθέσιμη. Οι επισκέπτες παραβιασμένων ιστότοπων ανακατευθύνονται μέσω αυτού του zTDS, το οποίο τους «προφιλάρει» και αποφασίζει αν θα τους εμφανιστεί δόλωμα τύπου FakeUpdate ή ClickFix. Μέσω του zTDS, η DriveSurge παραβιάζει χιλιάδες νόμιμους ιστότοπους υψηλής φήμης και ανακατευθύνει αθόρυβα τους επισκέπτες σε κακόβουλο λογισμικό, εν αγνοία τόσο των ιδιοκτητών των ιστότοπων όσο και των επισκεπτών τους.

Οι δύο τύποι επίθεσης: FakeUpdate και ClickFix

Στις επιθέσεις FakeUpdate, οι κυβερνοεγκληματίες παρασύρουν τα θύματα με ψεύτικες ειδοποιήσεις ενημέρωσης λογισμικού — συνήθως με τη μορφή ενημέρωσης browser — ώστε να τα εξαπατήσουν να κατεβάσουν και να εγκαταστήσουν κακόβουλα αρχεία. Τα δολώματα FakeUpdate περιλαμβάνουν ψεύτικες ειδοποιήσεις για Chrome, Firefox, Edge, Safari, Opera, Brave, Yandex, Vivaldi, Samsung Internet και UC Browser.

Σε ένα επιβεβαιωμένο περιστατικό, το πάτημα του κουμπιού «ενημέρωσης» πυροδότησε τη λήψη ενός αρχείου ZIP που περιείχε πολλές βιβλιοθήκες DLL και ένα εκτελέσιμο αρχείο «Browser Update.exe». Στην περίπτωση του ClickFix, ένα ψεύτικο μήνυμα σφάλματος οδηγεί τον χρήστη να αντιγράψει και να επικολλήσει μια «διόρθωση» στο τερματικό ή στο PowerShell του — η οποία στην πραγματικότητα εγκαθιστά κακόβουλο λογισμικό.

Το ClickFix είναι μια δημοφιλής τακτική κοινωνικής μηχανικής που εξαπατά τα θύματα να αντιγράψουν και να εκτελέσουν κακόβουλες εντολές στο σύστημά τους, συχνά με το πρόσχημα επίλυσης κάποιου τεχνικού προβλήματος. Οι επιτιθέμενοι βασίζονται στην αίσθηση επείγοντος για να παρακάμψουν την κριτική σκέψη, και πολλές σελίδες ClickFix χρησιμοποιούν αντίστροφες μετρήσεις, ψεύτικους μετρητές χρηστών ή άλλες τακτικές πίεσης.

Η ταχεία ανάπτυξη του ClickFix ως απειλή

Η εταιρεία ESET ανέφερε σε έκθεσή της ότι το ClickFix «εκτοξεύτηκε κατά πάνω από 500% σε σύγκριση με το δεύτερο εξάμηνο του 2024» στα δεδομένα τηλεμετρίας της. Το ClickFix αντιπροσωπεύει πλέον περίπου το 8% όλων των αποκλεισμένων επιθέσεων στο πρώτο εξάμηνο του 2025, καθιστώντας το τον δεύτερο πιο συχνό φορέα επίθεσης μετά το phishing. Οι Ειδικοί Άμυνας της Microsoft επισήμαναν επίσης ότι στις αρχές του 2025, χιλιάδες συσκευές επηρεάστηκαν μηνιαίως από επιθέσεις ClickFix, ακόμα και με ενεργή λύση ανίχνευσης και αντιμετώπισης απειλών τερματικών (EDR).

Παράλληλα, νεότερες παραλλαγές αυξάνουν την πολυπλοκότητα των επιθέσεων. Ερευνητές έχουν εντοπίσει εκστρατείες όπου το ClickFix μιμείται πλέον οθόνη ενημέρωσης Windows, χρησιμοποιώντας πειστικά δολώματα που ιστορικά ήταν οθόνες «Human Verification» — και τώρα πλαστές «Windows Update» σελίδες που αντιγράφουν επακριβώς το πραγματικό περιβάλλον.

Πώς να προστατευτείτε

Η βασική άμυνα απέναντι σε αυτές τις επιθέσεις είναι η ενημέρωση και η επιφυλακτικότητα. Δεν πρέπει να ακολουθείτε οδηγίες ιστοσελίδας χωρίς να τις αξιολογήσετε κριτικά, ιδιαίτερα αν η σελίδα σας ζητά να εκτελέσετε εντολές στη συσκευή σας ή να κάνετε αντιγραφή-επικόλληση κώδικα. Αποφύγετε να εκτελείτε εντολές ή σενάρια από μη αξιόπιστες πηγές — ποτέ μην εκτελείτε κώδικα που αντιγράψατε από ιστότοπους, email ή μηνύματα, εκτός αν εμπιστεύεστε την πηγή και κατανοείτε τη σκοπιμότητα της ενέργειας. Αν ένας ιστότοπος σάς ζητά να κάνετε κάποια τεχνική ενέργεια, επαληθεύστε πάντα μέσω της επίσημης τεκμηρίωσης ή επικοινωνήστε απευθείας με την υποστήριξη του λογισμικού.

Πηγές

• BleepingComputer – Hackers hijack thousands of sites for ClickFix and FakeUpdate attacks
• Silent Push – Meet DriveSurge: A New Threat Actor Using ClickFix and Fake Update Drive-By Attacks
• Microsoft Security Blog – Think before you Click(Fix)