文章总结： 新型威胁组织DriveSurge滥用开源zTDS系统劫持合法网站，通过虚假更新和点击修复等社会工程学手段向Windows与macOS设备植入恶意软件。研究发现其8个独特技术指纹，包括特定JS文件模式、服务器配置及域名注册特征，安全团队可利用这些指纹提前识别并阻断其恶意基础设施。 综合评分： 88 文章分类： 威胁情报,恶意软件,WEB安全,社会工程学,网络安全

zTDS 开源系统的恶意滥用：DriveSurge攻击链解析

原创

黑鸟 黑鸟

黑鸟

2026年6月1日 23:35 广东

在小说阅读器读本章

去阅读

一个名为DriveSurge的新型威胁演员正在全球范围内发动大规模攻击。该组织利用开源流量分发系统 zTDS，劫持了数千个合法高信誉网站，通过 Fake Updates（虚假更新）和ClickFix 两种社会工程学手段，向受害者设备植入恶意软件。

DriveSurge 是一个专业的Initial Access Broker（初始访问代理），采用 Pay-Per-Install（按安装付费）模式，向下游威胁演员出售高质量的受害者访问权限，该组织使用开源的zTDS流量分发系统，能够自动化地将被劫持网站的流量定向到恶意服务器，研究人员发现了 8 个独特的技术指纹，可以精准识别 DriveSurge 的恶意基础设施，攻击活动覆盖 Windows 和 macOS 两大平台，能够伪装 11 种主流浏览器的更新界面，部分攻击链最终会部署具有剪贴板劫持功能的 macOS 恶意软件

#

备注：

IAB（Initial Access Broker） 是网络犯罪生态系统中的关键角色，专门负责获取对受害者系统或网络的初始访问权限，然后将这些访问权限出售给下游的其他威胁演员。

#

DriveSurge 的攻击设计极为巧妙，充分利用了用户对熟悉网站和常规安全提示的信任。整个攻击过程几乎不会引起普通用户的怀疑。

当用户访问一个已经被 DriveSurge 入侵的合法网站时，隐藏在页面中的恶意 JavaScript 代码会在后台静默运行。这段代码会将用户流量重定向到 zTDS 服务器，该服务器会对访问者进行详细的环境分析，包括操作系统类型、浏览器版本、IP 地址和地理位置等信息。

zTDS 是一个自 2015 年就存在的开源流量分发系统，原本设计用于合法的广告流量管理和分发，但被 DriveSurge 等威胁演员滥用于恶意软件的大规模传播。

ztds.info

zTDS 具备强大的流量管理和过滤能力，能够根据访问者的特征精准分发不同内容：基于 ASN、IP 地址和 Referer 的黑名单功能，可屏蔽安全厂商和研究人员的访问；内置机器人检测和过滤机制，只针对真实人类用户进行攻击；移动运营商 IP 识别功能，可区分桌面端和移动端流量；支持验证码验证，进一步过滤非人类访问；能够与第三方 IP 数据库集成，获取更详细的访问者信息。

研究人员在恶意域名cptoptious.com上发现了 zTDS 的版本信息，确认其使用的是 1.0.3 版本。通过分析 zTDS 的更新日志，研究人员了解到该系统具备强大的流量管理能力，包括：

• 基于 ASN、IP 地址和 Referer 的黑名单功能
• 机器人检测和过滤机制
• 移动运营商 IP 识别
• 验证码支持
• 与第三方 IP 数据库集成

为了隐藏 zTDS 的存在，DriveSurge 使用了多种混淆技术。恶意注入的 JavaScript 代码通常经过 Base64 编码，并且使用字符串拼接的方式组装恶意 URL。代码中还包含了故障转移机制，当一个恶意域名无法访问时，会自动尝试下一个备用域名。

根据分析结果，zTDS 服务器会决定向用户推送哪种类型的攻击载荷。目前观察到的主要有两种攻击场景。

场景一：Fake Updates 虚假更新

这是 DriveSurge 最常使用的攻击手段。恶意服务器会返回一个高度逼真的浏览器更新提示页面，能够完美模仿 Google Chrome、Mozilla Firefox、Microsoft Edge、Safari、Opera、Brave、Yandex、Vivaldi、Samsung Internet 和 UC Browser 等 11 种主流浏览器的界面风格。

在一个典型案例中，被入侵的货运公司网站jclforwarding.com会将用户重定向到恶意域名 check.first-node.rocks。该域名会显示一个 Mozilla Firefox 紧急更新提示，当用户点击更新按钮时，会下载一个名为 “Browser Update.exe” 的 ZIP 压缩包。这个压缩包内包含多个 DLL 文件和可执行程序，实际上就是恶意软件本身。

场景二：ClickFix 点击修复

这种攻击方式更加隐蔽且危险。被入侵的网站会显示一个虚假的系统错误提示，声称浏览器或系统出现了问题，需要用户手动修复。提示会指导用户复制一段 “修复代码”，并粘贴到终端或 PowerShell 窗口中执行。

研究人员在分析中发现，一个 ClickFix 实例试图从 IP 地址 91.92.240[.]127 下载恶意代码。当用户按照提示执行这段看似无害的代码时，实际上是在运行一个恶意脚本，它会自动下载并安装完整的恶意软件到系统中。

攻击者开发服务器

在分析被入侵网站jclforwarding.com加载的外部资源时，研究人员发现了另一个可疑主机名testio.ecartdev.com。通过枚举该服务器上的各种文件路径，研究人员在 /login.php、/includes 和 /assets 页面中发现了重要线索。

基于对这些发现的综合分析，研究人员确认托管testio.ecartdev.com的服务器是 DriveSurge 组织的Payload and Development Server（载荷分发与开发服务器）。

/login.php 路径

通过访问主机名后的 login.php 路径，研究人员触发了一个登录面板。攻击者将登录面板隐藏在一个看似空白的根目录下的非索引路径中，这种设计明显是为了隐藏这个很可能是 C2面板的存在。

/includes 路径

研究人员还在 /includes 路径下发现了多个文件名，但无法直接下载这些文件。不过这些文件名本身已经提供了重要线索，它们表明该服务器具备 JavaScript 文件混淆能力，而这正是通过被入侵网站分发恶意 JavaScript 注入时所必需的核心功能。

/assets 路径

在 /assets 路径下，研究人员发现了 /assets/snippets 文件夹，其中包含了一些值得注意的文件和文件夹名称。这进一步表明该服务器的主要用途是存储恶意软件载荷以及用于欺骗受害者的 HTML 前端页面。

在进一步探索 /assets/snippets 下的 droppers 文件夹时，研究人员发现了五个子文件夹，每个文件夹中都存储着结构类似的文件。

研究人员深入分析了其中的 terminal_ps1_downloader 文件夹，在其中发现了 content.ps1 脚本。经过初步分析可以明确，这个 PowerShell 脚本专门用于在 Windows 受害者设备上执行恶意软件的加载阶段。

研究人员通过深入分析，总结出了 8 个独特的技术指纹。这些指纹可以帮助安全团队在攻击发生前识别并阻断 DriveSurge 的恶意基础设施。

#

指纹 1：t.js 文件模式

恶意注入的 JavaScript 文件通常命名为t.js，并且带有一个site参数，参数值是 32 位十六进制字符串。这个字符串是每个被入侵网站的唯一标识符，用于攻击者追踪流量来源。

指纹 2：SHA256 派生文件名

部分恶意 JavaScript 文件采用特殊的命名规则，文件名以t.开头，后跟 12 位十六进制字符，最后以.js结尾。这 12 位十六进制字符恰好是该文件 SHA256 哈希值的前 12 位。

指纹 3：ext-b 文件模式

第三种文件命名模式是以ext或ext-b开头，后跟 12 位十六进制字符，最后以.js结尾。与指纹 2 相同，这 12 位字符也是文件 SHA256 哈希值的前 12 位。

指纹 4：恶意服务器配置

通过分析前三个指纹发现的恶意服务器，研究人员总结出了统一的服务器配置特征。这些服务器都运行nginx/1.27.2版本，具有特定的 JARM 指纹和 HTTP 响应头，并且 404 页面的内容哈希值固定。

指纹 5：域名基础设施模式

DriveSurge 使用的恶意域名具有明显的共同特征。它们大多使用.icu顶级域名，注册商为 NiceNIC，名称服务器为ns1.erans.ru，并且托管在 AS203273 和 AS210644 这两个自治系统中。

利用这个模式，研究人员提前发现了 7 个尚未被武器化的预部署域名，包括 brightson.icu、coverlink.icu 和 datumprobe.icu 等。

指纹 6：注册邮箱关联

通过 WHOIS 查询，研究人员发现多个恶意域名使用同一个注册邮箱[email protected]。进一步分析显示，这个邮箱是通过临时邮件服务 tempmail.so 创建的长期账户。

指纹 7：第二注册邮箱关联

在分析被入侵网站jclforwarding.com加载的外部资源时，研究人员发现了另一个注册邮箱[email protected]。这个邮箱也被用于注册多个 DriveSurge 的恶意域名。

指纹 8：zTDS 服务器特征

DriveSurge 使用的 zTDS 服务器具有独特的配置指纹。这些服务器运行 nginx，具有特定的 JARM 指纹，并且会提供一个名为jsrepo的资源，该资源带有一个rnd参数用于绕过缓存。

参考：silentpush 《Meet DriveSurge: A New Threat Actor Using ClickFix and Fake Update Drive-By Attacks in Thousands of Compromised Sites》

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑鸟 黑鸟 黑鸟《zTDS 开源系统的恶意滥用：DriveSurge攻击链解析》