**Cibercriminales de DriveSurge lanzan campañas masivas de malware con ClickFix y FakeUpdates**
—
### 1. Introducción
Durante el primer semestre de 2024, los expertos en ciberseguridad han identificado un incremento significativo en campañas de distribución de malware a gran escala orquestadas por un actor de amenaza denominado DriveSurge. Este grupo ha explotado técnicas sofisticadas como ClickFix y FakeUpdates para infectar miles de sistemas a través de sitios web comprometidos, poniendo en jaque a organizaciones de múltiples sectores y a usuarios individuales por igual.
—
### 2. Contexto del Incidente o Vulnerabilidad
DriveSurge ha conseguido posicionarse entre los grupos de ciberdelincuentes más activos en la distribución de malware gracias a la utilización de campañas automatizadas que aprovechan vulnerabilidades en sitios web legítimos. Al infiltrar código malicioso mediante técnicas avanzadas de ingeniería social y manipulación de contenido, han logrado que usuarios desprevenidos descarguen e instalen malware en sus equipos, creyendo que están aplicando actualizaciones legítimas o solucionando problemas reales en sus navegadores.
Las tácticas ClickFix y FakeUpdates, aunque no son nuevas, han sido refinadas por DriveSurge para evadir controles tradicionales de seguridad y adaptarse a los cambios en los navegadores y en las políticas de los sistemas operativos.
—
### 3. Detalles Técnicos
Las campañas de DriveSurge se han centrado principalmente en la explotación de vulnerabilidades en plugins de WordPress y otros CMS populares. Una vez comprometido el sitio web, inyectan JavaScript malicioso que redirige a los visitantes hacia páginas de descarga de malware.
– **ClickFix**: Esta técnica manipula eventos de clic en el navegador para desencadenar descargas automáticas de ejecutables maliciosos, generalmente bajo la apariencia de un parche necesario o una solución a un supuesto problema detectado en el navegador.
– **FakeUpdates (SocGholish)**: Mediante la simulación de pop-ups de actualización de software (habitualmente de navegadores o plugins), engañan al usuario para descargar archivos trojanizados.
Las muestras analizadas corresponden a troyanos y droppers que instalan malware adicional como loaders (por ejemplo, SmokeLoader), infostealers (RedLine, Raccoon Stealer) y herramientas de acceso remoto (RATs). La mayoría de los archivos maliciosos han sido empaquetados con técnicas de ofuscación como UPX y herramientas de evasión para defensa activa.
– **Vectores de ataque**: Sitios web legítimos comprometidos, especialmente aquellos sin actualizaciones de seguridad recientes.
– **TTP (MITRE ATT&CK)**:
– TA0001 (Initial Access) – Drive-by Compromise
– TA0002 (Execution) – User Execution: Malicious File
– TA0005 (Defense Evasion) – Obfuscated Files or Information
– **Indicadores de Compromiso (IoC)**:
– Dominios de descarga (actualizados semanalmente)
– Hashes de archivos ejecutables (SHA256) distribuidos por campañas recientes
– IPs de C2 asociadas a infraestructuras en países del Este de Europa
—
### 4. Impacto y Riesgos
Se estima que más de 15.000 sitios web han sido utilizados como plataforma de distribución en los últimos tres meses, afectando potencialmente a cientos de miles de usuarios y empleados de organizaciones. El impacto directo incluye el robo de credenciales, instalación de ransomware y exfiltración de datos corporativos y personales.
En el caso de empresas sujetas a la normativa GDPR y la directiva NIS2, la exposición de datos personales y la falta de diligencia en la protección de activos digitales pueden traducirse en sanciones económicas superiores a los 10 millones de euros o el 2% de la facturación anual global, según el caso. Además, la propagación de malware puede suponer paradas operativas, pérdida de confianza y daño reputacional.
—
### 5. Medidas de Mitigación y Recomendaciones
Los expertos recomiendan adoptar un enfoque multicapa para mitigar el riesgo:
– **Actualización inmediata** de CMS, plugins y componentes web, prestando especial atención a WordPress y Joomla.
– **Implementación de controles de integridad** de archivos y monitorización constante de logs HTTP/S.
– **Bloqueo de IoCs** conocidos y actualización frecuente de listas negras en cortafuegos y proxies.
– **Restricción de privilegios** de usuario y desactivación de descargas automáticas en navegadores.
– **Concienciación y formación** continua para los empleados sobre los riesgos de las descargas no solicitadas y los engaños de ingeniería social.
– **Despliegue de EDR** con capacidad de análisis de comportamiento y respuestas automáticas ante la ejecución de archivos no aprobados.
– **Simulaciones periódicas de phishing y campañas de fake updates** para evaluar la resiliencia de la plantilla.
—
### 6. Opinión de Expertos
Responsables de equipos SOC y analistas forenses resaltan la “elevada sofisticación y adaptabilidad” de las campañas de DriveSurge. Según Pablo Fernández, analista de amenazas en S21sec, “la combinación de técnicas clásicas como FakeUpdates con mecanismos automatizados de distribución masiva ha incrementado de forma alarmante la tasa de éxito de las campañas, especialmente en organizaciones con políticas de actualización laxas y sin segmentación de red”.
—
### 7. Implicaciones para Empresas y Usuarios
El auge de campañas como las de DriveSurge pone de manifiesto la necesidad de revisar y reforzar tanto las políticas de seguridad perimetral como los programas de concienciación en empresas de todos los tamaños. Los usuarios finales, por su parte, deben extremar la precaución y desconfiar de cualquier aviso inesperado de actualización, especialmente si proviene de páginas ajenas a los canales oficiales.
Para las organizaciones, además del daño directo, existe el riesgo de incumplimiento normativo (GDPR, NIS2) y la obligación de notificar incidentes a las autoridades competentes, con el consiguiente impacto operativo y reputacional.
—
### 8. Conclusiones
Las campañas de malware impulsadas por DriveSurge demuestran la profesionalización y evolución constante de los actores de amenazas, capaces de explotar debilidades tanto tecnológicas como humanas. La defensa eficaz exige una combinación de tecnologías avanzadas, vigilancia continua y formación activa de todos los miembros de la organización.
La adopción temprana de medidas de mitigación, la cooperación sectorial y la actualización permanente de los controles técnicos serán clave para contrarrestar este tipo de amenazas en un panorama cada vez más hostil y cambiante.
(Fuente: www.bleepingcomputer.com)