DriveSurge : un nouvel acteur IAB exploitant ClickFix et FakeUpdates via des milliers de sites compromis

🔍 Contexte

Publié le 30 mai 2026 par Silent Push, cet article de recherche présente la découverte et l’analyse d’un nouvel acteur de la menace baptisé DriveSurge, opérant comme Initial Access Broker (IAB) selon un modèle Pay-Per-Install (PPI).

🎯 Acteur et mode opératoire

DriveSurge a compromis des milliers de sites web légitimes en y injectant du code JavaScript malveillant. Ces sites redirigent silencieusement les visiteurs via un Traffic Distribution System (TDS) open-source appelé zTDS (version 1.0.3, disponible depuis 2015 sur ztds[.]info). Le TDS profile les visiteurs et leur sert l’une des deux attaques suivantes :

FakeUpdates : fausses pages de mise à jour de navigateur (Chrome, Firefox, Edge, Safari, Opera, Brave, Yandex, Vivaldi, Samsung Internet, UC Browser) déclenchant le téléchargement d’un ZIP malveillant contenant des DLLs et un Browser Update.exe
ClickFix : faux message d’erreur incitant la victime à coller une commande malveillante dans PowerShell ou Terminal

🧬 Infrastructure et fingerprints

Silent Push a développé 8 fingerprints techniques pour cartographier l’infrastructure DriveSurge :

Pattern t.js?site=[32 hex chars] dans les ressources web externes
Fichiers JS nommés t.[12 hex chars].js (SHA256-dérivé)
Pattern ext-b.[12 hex chars].js
Configuration serveur nginx/1.27.2 avec JARM et body SHA256 spécifiques
Infrastructure TLD .icu + NS ns1.erans[.]ru + ASN 203273/210644 + registrar NiceNIC
Email WHOIS thiagorivera197151@ycyfugihih[.]cfd (pivot vers tempmail[.]so)
Second email WHOIS samuel_jordan16@flixtrend.net
Pattern zTDS : fichier jsrepo avec paramètre rnd=

🍎 Malware macOS

L’analyse d’un payload obfusqué (pattern ext-b) a révélé une attaque ciblant macOS via clipboard hijacking :

Vérification de l’OS (exclusion iPad/iPhone)
Téléchargement d’un script depuis hxxp://46.226.166[.]57/ce3cbfc887?force=1
Exécution via Terminal après hijacking du presse-papiers (faux reCAPTCHA)
C2 final : 147.45.42.205:8133

🖥️ Infrastructure identifiée

Domaines pré-weaponisés détectés : brightson[.]icu, coverlink[.]icu, datumprobe[.]icu, eraggifts[.]icu, keyview[.]icu, traceglimpse[.]icu, tracekey[.]icu
Serveur de payload/développement : testio[.]ecartdev[.]com
Panneau ADS (interface russe) : banerpanel[.]live
IP ClickFix : 91.92.240[.]127 (déjà référencée en Bulletproof Hosting)

📄 Nature de l’article

Il s’agit d’une publication de recherche CTI produite par Silent Push, visant à documenter l’infrastructure, les TTPs et les IOCs de DriveSurge pour permettre une détection proactive et un blocage préemptif.

🧠 TTPs et IOCs détectés

Acteurs de menace

DriveSurge (cybercriminal) —

TTP

T1189 — Drive-by Compromise (Initial Access)
T1204.002 — User Execution: Malicious File (Execution)
T1204.001 — User Execution: Malicious Link (Execution)
T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
T1027 — Obfuscated Files or Information (Defense Evasion)
T1027.010 — Obfuscated Files or Information: Command Obfuscation (Defense Evasion)
T1105 — Ingress Tool Transfer (Command and Control)
T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
T1036 — Masquerading (Defense Evasion)
T1608.004 — Stage Capabilities: Drive-by Target (Resource Development)
T1583.001 — Acquire Infrastructure: Domains (Resource Development)
T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
T1119 — Automated Collection (Collection)
T1113 — Screen Capture (Collection)

IOC

IPv4 : 91.92.240.127 — AbuseIPDB · VT · ThreatFox
IPv4 : 46.226.166.57 — AbuseIPDB · VT · ThreatFox
IPv4 : 147.45.42.200 — AbuseIPDB · VT · ThreatFox
IPv4 : 147.45.42.205 — AbuseIPDB · VT · ThreatFox
Domaines : beacontrace.bond — VT · URLhaus · ThreatFox
Domaines : jclforwarding.com — VT · URLhaus · ThreatFox
Domaines : check.first-node.rocks — VT · URLhaus · ThreatFox
Domaines : cptoptious.com — VT · URLhaus · ThreatFox
Domaines : webgleam.info — VT · URLhaus · ThreatFox
Domaines : banerpanel.live — VT · URLhaus · ThreatFox
Domaines : testio.ecartdev.com — VT · URLhaus · ThreatFox
Domaines : maxintora.com — VT · URLhaus · ThreatFox
Domaines : newtdsone.shop — VT · URLhaus · ThreatFox
Domaines : captioto.com — VT · URLhaus · ThreatFox
Domaines : ycyfugihih.cfd — VT · URLhaus · ThreatFox
Domaines : brightson.icu — VT · URLhaus · ThreatFox
Domaines : coverlink.icu — VT · URLhaus · ThreatFox
Domaines : datumprobe.icu — VT · URLhaus · ThreatFox
Domaines : eraggifts.icu — VT · URLhaus · ThreatFox
Domaines : keyview.icu — VT · URLhaus · ThreatFox
Domaines : traceglimpse.icu — VT · URLhaus · ThreatFox
Domaines : tracekey.icu — VT · URLhaus · ThreatFox
Domaines : flixtrend.net — VT · URLhaus · ThreatFox
Domaines : bseolized.com — VT · URLhaus · ThreatFox
Domaines : ztds.info — VT · URLhaus · ThreatFox
URLs : http://46.226.166.57/ce3cbfc887?force=1 — URLhaus
URLs : http://147.45.42.200/ce3cbfc887?force=1 — URLhaus
URLs : http://147.45.42.200/66856ca57ed?force=1 — URLhaus
URLs : http://46.226.166.57/66856ca57ed?force=1 — URLhaus
URLs : http://147.45.42.200/e97b7f7ccab3a?force=1 — URLhaus
URLs : http://46.226.166.57/e97b7f7ccab3a?force=1 — URLhaus
SHA256 : 90aecb370dfb1a99a1f7de0a9c6842ab1b664521fddea16b0ec9a91f322646fc — VT · MalwareBazaar
SHA256 : 7aa15de93cf85729ddf970e8d7897f69ece3ca29608f73e784a9ba40c9cea18d — VT · MalwareBazaar
SHA256 : 8ecc7108cd679316bf5900e84f19b256dc399902cdede646493f502ac872cc1a — VT · MalwareBazaar
SHA256 : e1ce4e6222396a58d13dddfe64c1dd21f1632bcbe11d1867d44bab4fc646883a — VT · MalwareBazaar
SHA256 : 29ac78c51bcdfe68c64830bdeb6e41437dd55e2691149741c9b78be03b6c82ea — VT · MalwareBazaar
SHA256 : a84b032b49773c2318b11b1164d1aada69e940229aedbf8185c33fc7dd1d2cdf — VT · MalwareBazaar
SHA256 : 0c62c11e910d7c0d6b6c9800b70e78bfd9220e1f78bd7bb34ae4c3646d05f6e5 — VT · MalwareBazaar
SHA256 : 428bd0b0ac36dfdd223b3953dbe61c0baf227f893310b03e7afe3111462019c6 — VT · MalwareBazaar
Emails : thiagorivera197151@ycyfugihih.cfd
Emails : samuel_jordan16@flixtrend.net
Fichiers : t.js
Fichiers : Browser Update.exe
Fichiers : jsrepo
Fichiers : banner-js.php
Fichiers : content.ps1
Fichiers : changelog.txt
Chemins : /tmp

Malware / Outils

zTDS (tool)
FakeUpdates (other)
ClickFix (other)
Browser Update.exe (loader)

🟢 Indice de vérification factuelle : 75/100 (haute)

⬜ silentpush.com — source non référencée (0pts)
✅ 29686 chars — texte complet (fulltext extrait) (15pts)
✅ 48 IOCs dont des hashes (15pts)
✅ 7/12 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
✅ 15 TTPs MITRE identifiées (15pts)
✅ date extraite du HTML source (10pts)
✅ acteur(s) identifié(s) : DriveSurge (5pts)
⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

91.92.240.127 (ip) → VT (16/91 détections) + ThreatFox (XWorm)
147.45.42.200 (ip) → VT (7/91 détections) + ThreatFox (Unknown malware)
90aecb370dfb1a99… (sha256) → VT (37/76 détections)
7aa15de93cf85729… (sha256) → VT (24/76 détections)
8ecc7108cd679316… (sha256) → VT (18/76 détections)

🔗 Source originale : https://www.silentpush.com/blog/drivesurge/

🔍 Contexte#

🎯 Acteur et mode opératoire#

🧬 Infrastructure et fingerprints#

🍎 Malware macOS#

🖥️ Infrastructure identifiée#

📄 Nature de l’article#

🧠 TTPs et IOCs détectés#

Acteurs de menace#

TTP#

IOC#

Malware / Outils#

🟢 Indice de vérification factuelle : 75/100 (haute)#