Sebuah kampanye distribusi malware berskala besar dilaporkan tengah beroperasi, menargetkan ribuan situs web untuk mengarahkan pengunjung ke infrastruktur berbahaya. Aktor ancaman di balik serangan ini, yang dilacak sebagai DriveSurge, menggunakan teknik rekayasa sosial canggih bernama ClickFix dan FakeUpdate untuk mengelabui korban agar mengunduh dan menjalankan malware.
Baca Juga: Apple Rilis iOS 26.5.1 dan macOS 26.5.1 untuk Perbaikan Penting
Dilansir dari BleepingComputer.com, peneliti dari perusahaan keamanan siber SilentPush mengungkapkan bahwa ribuan situs web telah dikompromikan dalam kampanye DriveSurge. Situs-situs ini diam-diam mengalihkan pengunjung ke server yang menyebarkan malware, seringkali tanpa sepengetahuan pemilik situs atau pengunjungnya.
ClickFix adalah taktik rekayasa sosial yang populer, dirancang untuk menipu korban agar menyalin dan menjalankan perintah berbahaya di sistem mereka. Modus operandi ini seringkali berkedok sebagai solusi untuk masalah teknis, seperti perbaikan tampilan situs atau masalah kompatibilitas, namun pada akhirnya berujung pada infeksi malware.
Baca Juga: Insinyur SpaceX Temukan Celah Linux Berusia 19 Tahun dengan Bantuan AI
Pengguna yang tidak curiga akan mengikuti instruksi yang diberikan, tanpa menyadari bahwa mereka sedang mengizinkan akses berbahaya ke perangkat mereka.
Sementara itu, FakeUpdate memanfaatkan godaan pembaruan perangkat lunak palsu. Dalam serangan ini, aktor ancaman menampilkan prompt pembaruan yang menipu, biasanya meniru pembaruan browser web seperti Chrome, Firefox, Edge, Safari, Opera, Brave, Yandex, Vivaldi, Samsung Internet, dan UC Browser.
Tujuannya adalah untuk mengelabui korban agar mengunduh dan menginstal muatan berbahaya yang menyamar sebagai pembaruan sah.
Menurut peneliti SilentPush, DriveSurge beroperasi sebagai broker akses awal (Initial Access Broker/IAB) dengan model pembayaran per instalasi (pay-per-install/PPI). Ini berarti mereka menyediakan akses awal ke sistem yang terinfeksi kepada pihak lain, yang kemudian dapat melancarkan serangan lanjutan seperti ransomware atau pencurian data.
Model bisnis ini memungkinkan DriveSurge untuk terus memperluas jangkauan serangannya.
Pengunjung situs web yang telah dikompromikan akan dialihkan melalui Sistem Distribusi Lalu Lintas (Traffic Distribution System/TDS) yang dikenal sebagai zTDS. Sistem ini, yang telah ada sejak setidaknya tahun 2015 dan digunakan DriveSurge sejak September 2025, bertugas memprofilkan pengunjung.
Berdasarkan profil tersebut, zTDS akan menentukan apakah umpan FakeUpdate atau ClickFix lebih sesuai untuk korban tertentu, memaksimalkan peluang infeksi.
SilentPush menyoroti sebuah kasus di mana pembaruan Firefox palsu mengunduh arsip ZIP yang berisi beberapa DLL dan executable berbahaya bernama ‘Browser Update. exe’.
Ini menunjukkan betapa meyakinkannya umpan yang dibuat oleh DriveSurge.
Para peneliti mengidentifikasi delapan sidik jari teknis yang terkait dengan kampanye ini, membantu mereka mengidentifikasi infrastruktur DriveSurge dan situs web yang dikompromikan. Salah satu indikator penting adalah injeksi JavaScript yang mengikuti pola ‘t.
js? site=<id>’, di mana <id> adalah nilai unik yang ditetapkan untuk setiap situs web yang terinfeksi.
Melalui analisis ini, SilentPush menemukan lebih dari 80 domain injeksi berbahaya dan sejumlah domain yang telah dipersiapkan namun belum digunakan dalam serangan.
Kampanye ini tidak hanya menargetkan sistem operasi Windows. Peneliti juga menemukan muatan JavaScript yang di-obfuscate secara khusus dirancang untuk sistem desktop macOS, dikirimkan melalui serangan ClickFix bertema verifikasi yang membajak clipboard.
Hal ini menunjukkan bahwa jangkauan kampanye DriveSurge meluas ke berbagai platform.
Untuk melindungi diri dari serangan semacam ini, pengguna sangat disarankan untuk hanya mengunduh pembaruan browser dari menu pengaturan aplikasi (biasanya di bagian ‘Tentang’ atau ‘Periksa Pembaruan’). Hindari mengklik tautan pembaruan yang muncul secara tiba-tiba di situs web atau melalui pop-up yang mencurigakan.
Baca Juga: UK Perketat Perlindungan Kabel Bawah Laut Setelah Aktivitas Kapal Selam Rusia
Selain itu, jangan pernah menjalankan perintah di command prompt Windows atau Terminal macOS yang tidak sepenuhnya Anda pahami atau yang berasal dari sumber yang tidak terpercaya. Kewaspadaan adalah kunci untuk menjaga keamanan perangkat Anda dari ancaman siber yang terus berkembang.
Leave a Comment