Tūkstančiai svetainių dirba įsilaužėliams — ir jūs to net nežinote

Užsukate į pažįstamą naujienų portalą, spustelite straipsnį — ir staiga ekrane iššoka pranešimas, kad jūsų naršyklę būtina atnaujinti. Atrodo įtikinamai: pažįstamas „Chrome" logotipas, oficialus tonas, mygtukas „Atsisiųsti". Spustelite. Ir tą akimirką jūsų kompiuteryje įsikuria kenkėjiška programa. Svetainės savininkas apie tai net neįtaria.

2026 metų birželį kibernetinio saugumo tyrėjai iš „Silent Push" atskleidė plataus masto atakų kampaniją, už kurios slypi grėsmių veikėjas, pavadintas „DriveSurge". Ši grupuotė jau užvaldė tūkstančius visiškai legalių, aukštą reputaciją turinčių svetainių ir pavertė jas ginklais prieš nieko neįtariančius lankytojus.

Veikimo principas gudrus savo paprastumu. „DriveSurge" įsilaužia į svetainę ir įterpia kenkėjišką „JavaScript" kodą, kuris lankytojus tyliai nukreipia per eismo paskirstymo sistemą pavadinimu „zTDS". Ši sistema — atvirojo kodo įrankis, egzistuojantis dar nuo 2015 metų, o „DriveSurge" jį naudoja mažiausiai nuo 2025-ųjų rugsėjo. zTDS įvertina kiekvieną lankytoją ir nusprendžia, koks spąstas jam bus veiksmingiausias.

Kai pavyksta, auka pamato vieną iš dviejų scenarijų. Pirmasis — „FakeUpdates": netikri naršyklės atnaujinimo pranešimai, apsimetantys „Chrome", „Firefox", „Edge", „Safari", „Opera", „Brave", „Yandex" ar net „Samsung Internet" naršyklėmis. Atsisiųstas failas — iš tikrųjų kenkėjiška programa, supakuota į ZIP archyvą. Vienu konkrečiu atveju tyrėjai aptiko netikrą „Firefox" atnaujinimą, kurio viduje slypėjo vykdomasis failas „Browser Update.exe" ir krūva kenkėjiškų DLL bibliotekų.

Antrasis scenarijus — „ClickFix" ataka, kuri pastaruoju metu tampa vis populiaresnė tarp kibernetinių nusikaltėlių. Čia aukai parodomas klaidos pranešimas arba techninė problema, kurią neva galima išspręsti nukopijavus ir įvykdžius komandą „PowerShell" arba komandinėje eilutėje. Daugeliui vartotojų tai skamba kaip nekaltas IT patarimas — tačiau komanda iš tikrųjų atsisiunčia ir paleidžia kenkėjišką kodą.

„Silent Push" taip pat nustatė, kad atakos nėra nukreiptos vien į „Windows" vartotojus. Tyrėjai rado specialiai „macOS" sistemoms pritaikytą „JavaScript" injekciją, kuri per patikros tematikos „ClickFix" ataką užgrobia iškarpinę. Tai reiškia, kad „DriveSurge" taikosi į abi pagrindines operacines sistemas.

Nors „DriveSurge" veikia kaip pradinės prieigos brokeris — jis neužbaigia atakos pats, o parduoda prieigą prie užkrėstų įrenginių kitiems nusikaltėliams pagal „mokėk už įdiegimą" modelį — žala gali būti milžiniška. Gavę prieigą, tolesni atakų vykdytojai gali diegti išpirkos reikalaujančias programas, vogti prisijungimo duomenis ar šnipinėti.

Tyrėjai identifikavo aštuonis techninius požymius, pagal kuriuos galima atpažinti „DriveSurge" infrastruktūrą. Vienas jų — „JavaScript" injekcija, atitinkanti šabloną „t.js?site=", kur kiekviena užkrėsta svetainė gauna unikalų identifikatorių. Iš viso nustatyta daugiau nei 80 kenkėjiškų domenų ir atrasta iš anksto paruoštų domenų, kurie dar nebuvo panaudoti atakoms.

Psichologinis šių atakų pagrindas toks pat senas kaip ir internetas — pasitikėjimas autoritetu. Kai lankytojas mato „Chrome" ar „Firefox" logotipą oficialiai atrodančiame pranešime, jo smegenys automatiškai perjungia į „tai teisėta" režimą. „DriveSurge" operatoriai tai puikiai išnaudoja: jie nekuria naujų, keistai atrodančių klaidų, o kopijuoja tikrus naršyklių atnaujinimo dialogus iki smulkmenų.

Dar vienas nerimą keliantis aspektas — mastelis. „SilentPush" tyrėjai nustatė, kad be jau aktyviai naudojamų 80 kenkėjiškų domenų, egzistuoja ir iš anksto paruoštų, dar neaktyvuotų domenų rezervas. Tai rodo, kad „DriveSurge" planuoja veiklą ilgam laikui ir turi resursų nuolat plėstis. Kiekvieną savaitę į jų tinklą patenka naujos svetainės, o svetainių savininkai dažnai sužino apie įsilaužimą tik po kelių mėnesių — arba iš viso nesužino.

Kibernetinio saugumo bendruomenė į šią kampaniją sureagavo skirtingai. Vieni analitikai pabrėžia, kad tai dar vienas įrodymas, jog tradicinės apsaugos priemonės — antivirusinės programos, ugniasienės — yra bejėgės prieš socialinės inžinerijos atakas, kurios išnaudoja ne programinės įrangos spragą, o žmogaus psichologiją. Kiti atkreipia dėmesį, kad „DriveSurge" sėkmė rodo augančią pradinės prieigos brokerių rinką: kuo daugiau įrenginių jie užkrečia, tuo didesnį pelną gauna perparduodami prieigą rimtesniems nusikaltėliams. Tai uždaras ir pelningas verslo ciklas, kurį sustabdyti sunku, nes kiekviena grandis veikia atskirai.

„DriveSurge" atvejis taip pat kelia klausimą apie atsakomybę. Kas atsakingas, kai legalios svetainės tampa įsilaužimo įrankiais? Svetainės savininkas, kuris galbūt net nežino, kad jo serveris sukompromituotas? Naršyklės kūrėjas, kurio atnaujinimų sistemą imituoja užpuolikai? O gal pati reklamos ir peradresavimo infrastruktūra, kuri leidžia tokioms schemoms veikti metų metus? Kol kas atsakymo nėra, o „DriveSurge" ir toliau veikia.

Gynybos receptas, laimei, paprastas. Naršyklės atnaujinimus visada atsisiųskite tik per pačios naršyklės nustatymų meniu — „Apie naršyklę", tuomet „Tikrinti atnaujinimus" — o ne per iššokančius langus svetainėse. Ir niekada nevykdykite komandų, kurių nesuprantate, nesvarbu, kaip įtikinamai atrodytų jas pateikęs puslapis. Viena paprasta taisyklė gali išgelbėti jūsų duomenis: jei svetainė prašo ką nors nukopijuoti ir įklijuoti į komandinę eilutę — uždarykite tą puslapį.