DriveSurge colpisce macOS con ClickFix e fake update su siti compromessi

Silent Push scopre un malware macOS nascosto dentro un payload offuscato della campagna DriveSurge, una rete di infezione che sfrutta ClickFix, falsi aggiornamenti browser e migliaia di siti legittimi compromessi per distribuire payload cross-platform. L’attore opera come Initial Access Broker con modello Pay-Per-Install, quindi non mira necessariamente alla monetizzazione diretta della singola infezione, ma alla vendita di accessi iniziali qualificati ad altri gruppi criminali. La campagna risulta attiva da febbraio 2026 e utilizza siti ad alta reputazione come moltiplicatori di traffico, iniettando JavaScript malevolo capace di reindirizzare gli utenti verso pagine di aggiornamento fasulle o istruzioni ClickFix costruite per indurre l’esecuzione manuale di comandi dannosi. Il punto più rilevante dell’analisi è la conferma che DriveSurge non colpisce soltanto ambienti Windows, ma include anche una catena specifica per macOS, attivata dopo un processo di profiling ambientale che valuta sistema operativo, browser, fingerprint e compatibilità della vittima. Il payload analizzato da Silent Push mostra una logica avanzata di generazione dinamica dei comandi, hijacking della clipboard e distribuzione di codice malevolo tramite endpoint controllati dall’attore. La tecnica è efficace perché combina tre elementi difficili da intercettare in modo tradizionale: la reputazione dei siti compromessi, la familiarità visiva dei falsi aggiornamenti e la fiducia dell’utente nelle istruzioni di risoluzione problemi. In questo modo, un visitatore macOS può essere guidato a incollare in Terminal un comando che crede legittimo, mentre in realtà sta avviando l’installazione del malware.

DriveSurge agisce come broker Pay-Per-Install

DriveSurge si comporta come un broker di accesso iniziale, specializzato nel trasformare traffico web legittimo in installazioni malware monetizzabili. Il modello Pay-Per-Install premia ogni infezione riuscita e spinge l’attore a mantenere una rete ampia, stabile e continuamente aggiornata di siti compromessi. Silent Push osserva un aumento significativo delle campagne ClickFix e FakeUpdates proprio attraverso questa infrastruttura, che automatizza la selezione delle vittime e la consegna del payload più adatto. Gli attaccanti compromettono siti di aziende, studi professionali, organizzazioni locali e realtà con buona reputazione, perché questi domini generano fiducia sia nei visitatori sia nei sistemi di sicurezza basati su reputazione. L’utente arriva su una pagina apparentemente normale, ma uno script esterno caricato in background contatta l’infrastruttura DriveSurge e decide se mostrare un falso aggiornamento o una schermata ClickFix. Il valore criminale non sta solo nel numero di infezioni, ma nella qualità dei profili colpiti: utenti di ambienti aziendali, professionisti, endpoint con privilegi o macchine che possono aprire la strada a campagne successive di spyware, ransomware o furto credenziali. L’Initial Access Broker vende quindi un accesso già filtrato e qualificato a threat actor downstream, riducendo per questi ultimi il costo della fase iniziale.

zTDS profila le vittime e distribuisce payload mirati

L’infrastruttura di DriveSurge si basa su zTDS, un Traffic Distribution System open-source disponibile dal 2015 e utilizzato per profilare le vittime prima della consegna del payload. Quando un visitatore raggiunge un sito compromesso, il codice iniettato contatta il server zTDS e invia informazioni sul browser, sul sistema operativo e su altri elementi di fingerprint. Se il profilo viene ritenuto idoneo, il sistema serve una landing page costruita su misura. Nel caso dei falsi aggiornamenti, la pagina imita Google Chrome, Firefox, Edge, Safari e altri browser, fino a coprire dodici varianti più una categoria generica. Il pulsante di aggiornamento scarica un archivio ZIP contenente componenti malevoli, tra cui DLL ed eseguibili mascherati da Browser Update per ambienti Windows, oppure catene specifiche per macOS quando il profiling rileva un dispositivo Apple. Nelle varianti ClickFix, invece, la vittima vede un messaggio di errore convincente che chiede di copiare un comando e incollarlo in PowerShell o Terminal. Questa tecnica sfrutta una dinamica psicologica precisa: l’utente non percepisce il comando come file scaricato da Internet, ma come procedura di correzione suggerita dalla pagina. La combinazione tra profiling, landing page adattive e comandi dinamici rende DriveSurge più efficace di una semplice campagna drive-by tradizionale.

Otto fingerprint tecnici tracciano l’infrastruttura DriveSurge

Silent Push identifica otto fingerprint tecnici che permettono di mappare l’infrastruttura DriveSurge e seguire l’evoluzione della campagna. Il primo marker riguarda il caricamento esterno di file t.js con parametro site seguito da 32 caratteri esadecimali, un identificatore che collega ogni sito compromesso al server dell’attore. Il secondo riguarda file con formato t.[12 hex].js, derivati dai primi dodici caratteri dello SHA256 del file. Il terzo riguarda file ext-b[12 hex].js o ext.[12 hex].js, generati con logica simile. Il quarto fingerprint combina header nginx/1.27.2, valore JARM specifico, titolo 404 Not Found e hash body ricorrenti. Il quinto identifica domini .icu registrati tramite NiceNIC, nameserver ns1.erans.ru e ASN 203273 o 210644. Il sesto pivota sull’email [email protected], utilizzata per registrare decine di domini collegati. Il settimo aggiunge l’email [email protected], mentre l’ottavo lega l’intera infrastruttura a configurazioni server ricorrenti. Questi marker permettono di individuare nuovi domini, siti infetti e server operativi anche quando l’attore modifica nomi o payload, perché l’impronta infrastrutturale resta riconoscibile.

I siti compromessi caricano t.js senza avvisare utenti e proprietari

La fase di compromissione dei siti si basa sull’iniezione silenziosa di JavaScript esterno. I domini legittimi caricavano il file t.js con il parametro site, che consente all’infrastruttura DriveSurge di attribuire il traffico al sito compromesso e di gestire la distribuzione dei payload. Lo script opera in background e non modifica necessariamente il contenuto visibile della pagina, rendendo difficile la scoperta da parte del proprietario del sito e dell’utente finale. Questa caratteristica è centrale per l’efficacia della campagna: il sito resta apparentemente funzionante, conserva la propria reputazione e continua a generare visite, ma diventa un nodo di reindirizzamento verso landing page malevole.

Silent Push rileva migliaia di siti con questo inject, monitorando caricamenti esterni e pattern ricorrenti per aggiornare la lista dei domini infetti. L’attacco dimostra quanto la sicurezza dei siti legittimi sia ormai parte della sicurezza endpoint: un portale aziendale compromesso può trasformarsi in canale di infezione per visitatori ignari, anche se non ospita direttamente il malware finale. L’utente non scarica un file da un dominio sconosciuto, ma viene convinto da una pagina raggiunta dopo aver visitato un sito apparentemente affidabile.

Fake update imitano dodici browser e distribuiscono archivi ZIP malevoli

Le landing page FakeUpdates di DriveSurge imitano dodici browser differenti e adattano automaticamente messaggio, grafica e payload al profilo rilevato. Silent Push documenta un esempio su jclforwarding.com, dove il dominio check.first-node.rocks serve una pagina che imita Firefox. Il pulsante di aggiornamento scarica un archivio ZIP con hash SHA256 90aecb370dfb1a99a1f7de0a9c6842ab1b664521fddea16b0ec9a91f322646fc, contenente DLL e un eseguibile denominato Browser Update.exe. Lo script script.js gestisce i browser supportati e modifica il testo in base all’ambiente della vittima. Il valore offensivo dei fake update sta nella familiarità dell’esperienza: gli utenti sono abituati a ricevere notifiche di aggiornamento del browser e spesso considerano urgente correggere presunti problemi di compatibilità o sicurezza. DriveSurge sfrutta questa abitudine per spingere al download e all’esecuzione di file dannosi. La stessa logica viene applicata ai payload macOS quando il sistema rileva un dispositivo Apple, dimostrando che la campagna non si limita alla classica distribuzione di eseguibili Windows, ma adatta la consegna alle piattaforme disponibili.

ClickFix induce l’utente macOS a incollare comandi malevoli in Terminal

Le varianti ClickFix rappresentano il punto più delicato per gli utenti macOS, perché non richiedono necessariamente il download esplicito di un file presentato come malware, ma spingono la vittima a eseguire un comando manuale. La pagina mostra un errore plausibile e invita l’utente a copiare una stringa di correzione da incollare in Terminal. Il payload implementa hijacking della clipboard, sostituendo il contenuto copiato con il comando reale dell’attaccante. L’utente crede di aver copiato una soluzione innocua, ma incolla una sequenza che scarica ed esegue il malware. Silent Push osserva varianti che contattano l’IP 91.92.240.127, già associato a hosting bulletproof, e ricostruisce la generazione dinamica dei comandi malevoli. Questa tecnica è particolarmente insidiosa perché aggira molte barriere psicologiche e tecniche: la vittima compie un’azione volontaria, il comando usa utility native come curl, e il flusso può evitare in parte il salvataggio di file intermedi sul disco. Su macOS, dove molti utenti percepiscono ancora un rischio malware più basso rispetto a Windows, la combinazione tra errore fittizio, clipboard hijacking e Terminal aumenta la probabilità di successo.

Il payload offuscato rivela la catena malware per macOS

La scoperta del malware macOS nasce dall’analisi di un payload offuscato servito da DriveSurge dopo il profiling della vittima. Silent Push esamina lo script e identifica meccanismi multi-livello di offuscamento, fingerprinting ambientale e generazione condizionale dei comandi. Il codice valuta user-agent, sistema operativo, versione del browser e caratteristiche dell’ambiente prima di attivare il ramo dedicato a macOS. Quando il dispositivo viene riconosciuto come compatibile, il payload genera una catena di installazione specifica che usa comandi nativi, manipolazione della clipboard e download da endpoint controllati dall’attore. La logica resta nascosta fino alla fase di esecuzione finale, rendendo più complessa l’analisi statica. Il malware macOS stabilisce connessioni con endpoint C2 collegati alla stessa infrastruttura già mappata tramite fingerprint DriveSurge, confermando che non si tratta di un artefatto isolato, ma di una componente integrata della campagna. Questo aspetto è rilevante perché smentisce l’idea che le campagne fake update e ClickFix siano principalmente Windows-centriche: il modello di DriveSurge è pienamente cross-platform e adatta la catena alla piattaforma della vittima.

Profiling ambientale e comandi dinamici aumentano l’efficacia dell’attacco

Il payload offuscato di DriveSurge non distribuisce lo stesso file a tutti gli utenti. Prima di agire, raccoglie informazioni sull’ambiente e decide quale percorso utilizzare. Se rileva macOS, attiva una logica dedicata che genera comandi specifici per Terminal, spesso basati su utility native come curl o strumenti già presenti nel sistema. Questo riduce la necessità di componenti esterni e migliora le probabilità di esecuzione. Il profiling avviene lato client in JavaScript, senza richiedere necessariamente round-trip aggiuntivi verso il server, e permette di evitare payload incompatibili o troppo rumorosi. L’approccio fileless, o comunque a bassa persistenza su disco nelle fasi iniziali, riduce la visibilità per antivirus tradizionali e controlli basati su hash. Silent Push rileva anche meccanismi anti-analisi che verificano l’ambiente prima di attivare completamente il malware. Questa combinazione rende DriveSurge una campagna più sofisticata rispetto a semplici redirect criminali: l’infrastruttura non si limita a inviare traffico, ma decide in modo intelligente quale payload servire, come mascherarlo e quale comando generare per massimizzare il tasso di installazione.

NiceNIC, ASN bulletproof e domini .icu garantiscono resilienza operativa

L’infrastruttura di DriveSurge mostra una forte attenzione alla resilienza. I domini di comando risultano spesso registrati tramite NiceNIC, con uso di domini .icu, nameserver erans.ru e ASN collegati a hosting bulletproof. Silent Push pivota sugli indirizzi email di registrazione e individua decine di domini collegati, confermando un modello organizzato e non una serie di episodi isolati. La scelta di registrar, TLD e hosting rende più complesso il takedown rapido e permette agli attaccanti di sostituire nodi eliminati mantenendo attiva la campagna. Il collegamento tra hash dei payload macOS, endpoint C2 e fingerprint infrastrutturali dimostra che le componenti Windows e macOS appartengono alla stessa macchina operativa. Il traffico verso servizi apparentemente legittimi o domini appena registrati può non bastare come indicatore isolato; serve invece correlare configurazioni server, pattern JavaScript, header nginx, JARM, nameserver, ASN e parametri di script. La forza dell’analisi Silent Push sta proprio nella capacità di trasformare questi dettagli in una mappa operativa aggiornata.

DriveSurge conferma il rischio crescente per utenti macOS

La campagna DriveSurge conferma che macOS è ormai pienamente integrato nelle catene di infezione criminali basate su social engineering, traffic distribution e payload adattivi. Gli attaccanti non hanno bisogno di exploit zero-day per compromettere un utente Apple quando possono usare siti legittimi compromessi, falsi aggiornamenti, messaggi ClickFix e hijacking della clipboard. Il rischio cresce perché la vittima non percepisce l’infezione come download sospetto, ma come procedura tecnica suggerita da una pagina raggiunta durante la navigazione ordinaria. Per le organizzazioni, la difesa deve partire dal monitoraggio delle risorse esterne caricate dai propri siti, dalla ricerca di inject t.js, dal blocco degli endpoint associati a DriveSurge, dall’analisi dei comandi sospetti eseguiti in Terminal e dalla formazione degli utenti contro istruzioni che chiedono di copiare codice da una pagina web. Gli indicatori pubblicati da Silent Push, inclusi hash dei payload, domini, IP e otto fingerprint tecnici, permettono di costruire regole di rilevamento e verificare se siti aziendali risultano compromessi. La lezione è netta: la sicurezza macOS non può più essere trattata come categoria separata o marginale. DriveSurge mostra una filiera criminale capace di profilare, ingannare e colpire utenti Apple con lo stesso livello di automazione già visto su Windows, trasformando ogni sito compromesso in un possibile punto di ingresso per malware cross-platform.