האקרים השתלטו על אלפי אתרים ומשתמשים בהם להפצת נוזקות באמצעות מתקפות ClickFix ו־FakeUpdate.
לפי הדיווח, גורם תקיפה בשם DriveSurge מפעיל קמפיינים רחבי היקף דרך אתרים שנפרצו, ומציג למשתמשים הודעות מזויפות כמו “עדכון דפדפן”, “תיקון בעיה”, או פעולה שנראית לגיטימית לכאורה. בפועל, המטרה היא לגרום למשתמש להריץ קוד או להוריד קובץ שמוביל להדבקה בנוזקה.
למה זה חשוב?
התקיפה מנצלת אמון באתרים לגיטימיים. המשתמש לא בהכרח נכנס לאתר חשוד — אלא לאתר אמיתי שנפרץ ושולב בו מנגנון הפצה זדוני. זה הופך את הזיהוי לקשה יותר, במיוחד בארגונים שבהם משתמשים רגילים לבצע “עדכונים” או לאשר הודעות מערכת בלי לבדוק לעומק.
הסיכון המרכזי הוא הדבקה בעמדות קצה, גניבת פרטי התחברות, פתיחת גישה ראשונית לרשת הארגונית, ובהמשך גם תנועה רוחבית, גניבת מידע או פריסת נוזקות נוספות.
המלצה אופרטיבית:
לא להריץ פקודות או “תיקונים” שמופיעים באתרי אינטרנט, גם אם האתר נראה לגיטימי. עדכוני דפדפן ותוכנה יש לבצע רק דרך הערוצים הרשמיים של היצרן. בארגונים מומלץ לחסום הרצת סקריפטים לא מורשים, לנטר הורדות חשודות, להקשיח הרשאות משתמשים, ולהדריך עובדים לזהות הודעות ClickFix ו־FakeUpdate.
Discovered by Persist Security Cyber Intelligence, www.PersistSec.com
