Ameaça em larga escala na web
Um threat actor rastreado como DriveSurge comprometeu milhares de sites legítimos para redirecionar visitantes silenciosamente para páginas de malware usando técnicas de engenharia social conhecidas como ClickFix e FakeUpdates. A operação, revelada em 30 de maio de 2026 pela Silent Push, funciona como um Initial Access Broker que vende acesso a sistemas comprometidos via modelo pay-per-install.
Os sites invadidos recebem injeções de JavaScript malicioso que filtram visitantes em tempo real usando um sistema de distribuição de tráfego (zTDS) de código aberto. Visitantes que não são administradores WordPress e não apresentam assinaturas de bots são redirecionados para páginas de ataque que simulam atualizações de navegador ou erros de sistema, induzindo a vítima a executar comandos maliciosos ou baixar arquivos infectados. A tática reforça o que especialistas já alertam: a engenharia social continua sendo o vetor de ataque mais poderoso, superando até vulnerabilidades técnicas.
Como funciona o golpe
No vetor FakeUpdates, a vítima vê um prompt de atualização de navegador que imita 12 navegadores diferentes — Chrome, Firefox, Edge, Safari, Opera, Brave, Yandex, Vivaldi, Samsung Internet e UC Browser. Ao clicar, um arquivo ZIP é baixado contendo DLLs e um executável disfarçado como Browser Update.exe. No vetor ClickFix, uma mensagem de erro falsa instrui o usuário a copiar e colar um “fix” no PowerShell ou Terminal, executando código malicioso que se esconde até em imagens PNG.
O código injetado nos sites comprometidos usa Base64 encoding via atob(), concatenação de strings e múltiplos servidores de failover para garantir que o redirecionamento funcione mesmo se um domínio for bloqueado. O script verifica se o visitante é administrador WordPress antes de agir — se for, o ataque é suspenso para evitar detecção pelo dono do site.
Infraestrutura identificada
| Indicador | Detalhe |
|---|---|
| Padrão de injeção | t.js?site=[32-hex-chars] — identificador único por site |
| Domínios de injeção | Mais de 80 domínios maliciosos identificados |
| zTDS | Versão 1.0.3, ativa desde setembro de 2025 |
| Domínios pré-armados | 7 domínios .icu registrados mas ainda não ativos (brightson.icu, coverlink.icu, datumprobe.icu, entre outros) |
| Registrante | NiceNIC, nameserver ns1.erans.ru, AS 203273/210644 |
A Silent Push desenvolveu oito fingerprints técnicos para mapear a infraestrutura completa do DriveSurge, incluindo pivots via WHOIS que revelaram endereços de email temporários usados no registro em massa de domínios.
Proteja-se e proteja seu site
Atualizações de navegador devem ser feitas exclusivamente pelo menu de configurações do próprio aplicativo — nunca clique em popups de atualização. Nunca execute comandos no PowerShell ou Terminal que você não compreenda totalmente, especialmente os sugeridos por mensagens de erro em sites.
Para administradores de sites, monitore injeções de JavaScript desconhecidas em seus templates, especialmente arquivos t.js ou padrões jsrepo?rnd=. O Rapid7 confirmou independentemente parte dessa infraestrutura. Revise regularmente os arquivos do seu site em busca de scripts que não pertencem ao código original. Casos como a falha no Ghost CMS que comprometeu mais de 700 sites mostram que a infecção em massa de sites legítimos é uma tendência crescente.