Os ataques FakeUpdates voltaram ao centro das atenções após pesquisadores da SilentPush revelarem uma campanha em larga escala conduzida pelo grupo DriveSurge, responsável por sequestrar milhares de sites legítimos para distribuir malware. A operação utiliza técnicas avançadas de engenharia social e uma infraestrutura sofisticada para atingir usuários de diferentes plataformas, incluindo Windows e macOS.
O aspecto mais preocupante da campanha é sua capacidade de transformar sites confiáveis em vetores de infecção. Em vez de depender exclusivamente de páginas maliciosas criadas pelos criminosos, os invasores comprometem portais legítimos e inserem códigos que redirecionam visitantes para armadilhas cuidadosamente planejadas.
Neste artigo, você entenderá como funcionam os ataques FakeUpdates, o método ClickFix, o papel do sistema zTDS na distribuição das ameaças e quais medidas podem ajudar usuários e administradores de sites a se protegerem contra esse tipo de ataque.
O que são os ataques FakeUpdates e ClickFix
Os criminosos virtuais têm investido cada vez mais em técnicas de engenharia social, explorando a confiança e a distração dos usuários. Entre os métodos mais populares atualmente estão os ataques FakeUpdates e o ClickFix, que utilizam abordagens diferentes, mas compartilham o mesmo objetivo: convencer a vítima a executar ações que resultem na instalação de malware.
Essas campanhas costumam ser altamente personalizadas, adaptando-se ao navegador, sistema operacional e até mesmo ao comportamento do visitante para aumentar a taxa de sucesso.
Imagem: Silent Push
FakeUpdates: As falsas atualizações de navegador
Os ataques FakeUpdates simulam notificações legítimas de atualização para navegadores populares como Google Chrome, Mozilla Firefox, Brave e Safari.
Ao acessar um site comprometido, o usuário visualiza uma mensagem alarmante informando que seu navegador está desatualizado ou que uma atualização crítica de segurança precisa ser instalada imediatamente. A aparência desses avisos costuma ser extremamente convincente, reproduzindo logotipos, cores e elementos visuais dos navegadores reais.
Quando a vítima clica para atualizar, em vez de receber um pacote legítimo, ela baixa um arquivo malicioso capaz de instalar trojans, ladrões de credenciais, ransomware ou outros tipos de malware.
O sucesso das campanhas FakeUpdates está justamente na familiaridade do processo. Como atualizações de navegador são comuns, muitos usuários acabam executando os arquivos sem questionar sua origem.
ClickFix: A armadilha do PowerShell e comandos maliciosos
Enquanto os ataques FakeUpdates dependem do download de arquivos, o método ClickFix utiliza uma abordagem ainda mais engenhosa.
Nesse golpe, a vítima recebe uma mensagem alegando que há um problema técnico que precisa ser corrigido manualmente. O site exibe instruções aparentemente legítimas e solicita que o usuário copie um comando específico.
Em seguida, a vítima é orientada a abrir o PowerShell, o Prompt de Comando, o Terminal ou outra ferramenta administrativa do sistema e colar o conteúdo fornecido.
Na prática, o comando executa scripts maliciosos que baixam e instalam malware diretamente no dispositivo. Como a ação é realizada pelo próprio usuário, muitas soluções de segurança podem interpretar a atividade como legítima, dificultando a detecção inicial.
A ameaça FakeUpdates e ClickFix tem se mostrado especialmente perigosa porque explora comportamentos humanos, não apenas vulnerabilidades técnicas.
O papel do zTDS e a infraestrutura do DriveSurge
Por trás da campanha está uma estrutura conhecida como zTDS, um sistema de distribuição de tráfego utilizado para direcionar vítimas às cargas maliciosas mais adequadas para cada cenário.
O termo TDS (Traffic Distribution System) refere-se a plataformas capazes de analisar visitantes em tempo real e encaminhá-los para conteúdos específicos de acordo com critérios previamente definidos.
No caso do DriveSurge, o zTDS atua como um filtro inteligente. Quando um visitante acessa um site comprometido, o sistema coleta informações sobre o dispositivo, navegador, localização geográfica e sistema operacional utilizado.
Com base nesses dados, a infraestrutura decide qual golpe apresentar.
Um usuário de Windows pode receber uma falsa atualização de navegador acompanhada de um executável malicioso. Já um visitante utilizando macOS pode visualizar uma versão diferente da armadilha, otimizada para o ecossistema da Apple.
Os pesquisadores identificaram ainda um padrão recorrente de injeção de código JavaScript, frequentemente carregado por meio de chamadas semelhantes a t.js?site=<id>. Esse componente permite que os operadores alterem campanhas, cargas maliciosas e estratégias de distribuição sem precisar modificar cada site comprometido individualmente.
Outro elemento importante do ecossistema criminoso é o modelo Pay-Per-Install (PPI).
Nesse formato, operadores da infraestrutura recebem pagamentos de grupos maliciosos para distribuir malware em larga escala. Quanto mais instalações bem-sucedidas forem realizadas, maior o retorno financeiro dos envolvidos.
Isso transforma plataformas como o zTDS em verdadeiros intermediários da criminalidade digital, conectando distribuidores de malware, operadores de campanhas e outros agentes do ecossistema cibercriminoso.
Como se proteger dessas ameaças virtuais
Embora campanhas como DriveSurge sejam sofisticadas, algumas medidas simples podem reduzir significativamente os riscos de infecção.
Para usuários finais, a principal recomendação é desconfiar de qualquer aviso de atualização exibido diretamente em páginas da web.
Atualizações de navegadores devem ser realizadas exclusivamente pelos mecanismos oficiais integrados ao próprio software. O Chrome, o Firefox, o Brave e o Safari possuem sistemas internos para verificar e instalar novas versões com segurança.
Também é fundamental nunca copiar ou executar comandos fornecidos por páginas desconhecidas em ferramentas como PowerShell, Terminal ou Prompt de Comando.
Mesmo quando a mensagem parece legítima, a execução de scripts sem validação pode resultar na instalação silenciosa de malware.
Outra boa prática envolve manter sistemas operacionais, navegadores e soluções de segurança sempre atualizados, reduzindo a superfície de ataque disponível para criminosos.
Para administradores de sites e profissionais de infraestrutura, a atenção deve se concentrar no monitoramento de alterações suspeitas.
Auditorias frequentes em arquivos JavaScript, verificações de integridade e análise de logs podem ajudar a identificar comprometimentos antes que milhares de visitantes sejam expostos às ameaças.
Também é recomendável monitorar scripts de terceiros, extensões instaladas em plataformas CMS e alterações não autorizadas em templates ou arquivos do servidor.
Ferramentas de detecção de intrusão, monitoramento contínuo e políticas rigorosas de controle de acesso complementam a estratégia de defesa.
Conclusão e reflexões sobre a segurança na web
A campanha DriveSurge demonstra como o cenário de ameaças digitais continua evoluindo. Em vez de depender apenas de vulnerabilidades técnicas, grupos criminosos investem cada vez mais em engenharia social, explorando a confiança dos usuários para obter sucesso.
Os ataques FakeUpdates, combinados com o método ClickFix e a infraestrutura zTDS, mostram o nível de profissionalização alcançado pelos chamados IABs (Initial Access Brokers) e outros intermediários do ecossistema cibercriminoso.
O uso de sites legítimos comprometidos torna essas campanhas ainda mais perigosas, já que muitos usuários acreditam estar navegando em ambientes confiáveis quando, na verdade, estão diante de uma armadilha cuidadosamente planejada.
A melhor defesa continua sendo a combinação entre conscientização, boas práticas de segurança e monitoramento constante. Quanto maior o conhecimento sobre essas técnicas, menores serão as chances de cair em golpes cada vez mais sofisticados.
