文章总结： 文档披露DriveSurge黑客组织通过劫持数千网站植入zTDS流量分发系统，结合FakeUpdate虚假浏览器更新和ClickFix诱导执行恶意命令两种手法窃取用户凭证。攻击针对Windows和macOS双平台，采用按安装付费模式进行初始访问经纪。文章提供了网站安全检查命令和用户防护清单，强调警惕弹窗更新与命令执行是核心防御措施。 综合评分： 85 文章分类： 威胁情报,恶意软件,网络安全,安全意识,漏洞预警

---

数千网站被劫持！新型ClickFix+FakeUpdate攻击正在偷你的密码，99% 的人都中招过

原创

RCS-TEAM安全团队 RCS-TEAM安全团队

RCS-TEAM

2026年6月3日 09:00 北京

在小说阅读器读本章

去阅读

🔥 数千网站被劫持！新型 ClickFix + FakeUpdate 攻击正在偷你的密码，99% 的人都中招过

导读：一个名叫 DriveSurge 的黑客组织，正在大规模劫持正规网站，用”浏览器更新”和”请复制粘贴”的套路，把访问者引向恶意软件。你的网站可能已经被黑了而你完全不知道。

---

🚨 事情有多严重？

SilentPush 安全团队 6 月 1 日发布了一份报告，揭露了一个代号为 DriveSurge 的威胁组织正在运营的大规模攻击活动。

核心数据：

▪数千个正规网站被劫持

▪80+ 恶意注入域名已确认

▪还有大量预武器化域名尚未启用

▪攻击目标覆盖 Windows 和 macOS 双平台

这不是小打小闹。DriveSurge 不是一个人在战斗，它扮演的是**初始访问经纪人（IAB）**的角色，用”按安装付费”（PPI）的模式，把被感染的机器卖给后续攻击者。换句话说，你中了一次毒，你的机器会被反复利用。

---

🔍 攻击手法拆解：两大杀招

第一招：FakeUpdate（假更新）

你访问了一个看似正常的网站，突然弹出一个窗口：

⚠️ 您的 Firefox 浏览器已过期，请立即更新以继续浏览

界面做得跟真的一模一样。你一点”更新”，下载下来的是一个 ZIP 压缩包，里面装着：

▪多个恶意 DLL 文件

▪一个伪装成 Browser Update.exe 的可执行文件

中招之后？ 你的浏览器凭据、Cookie、保存的密码，全部被打包偷走。

这招的阴险之处在于：它冒充了 10 种主流浏览器——Chrome、Firefox、Edge、Safari、Opera、Brave、Yandex、Vivaldi、Samsung Internet、UC Browser，几乎覆盖了所有用户。

第二招：ClickFix（假修复）

这个套路你可能见过：

⚠️ 检测到错误代码 0x80070005，请按 Win+R，输入以下命令修复：

powershell -enc SQBFAFgA...

你以为在修复问题，实际上是在执行攻击者的 PowerShell 命令。

ClickFix 的致命逻辑是： 攻击者不直接给你下毒，而是让你自己给自己下毒。你亲手复制、亲手粘贴、亲手回车——然后你的机器就变成别人的了。

---

🕸️ 背后的技术链：zTDS 流量分发系统

DriveSurge 不是简单地在每个被黑网站上放同样的脚本。它用了一套叫 zTDS 的流量分发系统（Traffic Distribution System）。

这套系统的工作流程：

用户访问被劫持网站         ↓ zTDS 拦截请求，分析用户特征         ↓     ┌───┴───┐     ↓       ↓  Windows   macOS     ↓       ↓  ClickFix  ClickFix  (PowerShell) (AppleScript)     ↓       ↓  恶意载荷   恶意载荷

zTDS 会根据以下因素决定用哪种攻击方式：

▪操作系统类型

▪浏览器版本

▪地理位置

▪访问时间

▪设备指纹

这意味着攻击者能精准投放最可能让你中招的套路。

---

🎯 为什么你的网站可能已经被黑了？

DriveSurge 的入侵方式主要是利用网站漏洞注入恶意 JavaScript。

注入特征（如果你用 WordPress、Drupal 或其他 CMS，立刻检查）：

<!-- 在你的网站源码中搜索这个模式 --><scriptsrc="https://[随机域名]/t.js?site=[你的网站专属ID]"></script>

每个被劫持的网站都会被分配一个唯一 ID，zTDS 通过这个 ID 追踪流量来源。

注入后效果：

▪网站所有者完全不知道

▪正常访问时页面看起来一切正常

▪只有在特定条件下（特定 UA、特定 IP 段、特定时间）才会触发重定向

▪搜索引擎爬虫看到的和真实用户看到的可能不一样

---

📊 真实案例：一个被黑的企业网站

SilentPush 报告中提到的一个案例：

受害者：某中型企业官网（成立 8 年，SEO 排名良好）

发现过程：

①网站管理员发现流量异常下降

②安全研究员在扫描中发现该网站注入了恶意脚本

③进一步追踪发现该网站已被劫持至少 3 个月

损失：

▪品牌声誉严重受损（访问者被引导到恶意软件）

▪搜索引擎将其标记为”不安全网站”

▪客户信任度大幅下降

▪清理和恢复成本约 ¥5-10 万

---

🛡️ 紧急防护清单（现在就做！）

如果你是网站管理员

# 1. 检查网站源码中是否有可疑的 JS 注入# 在源码中搜索以下模式： grep -r "t\.js\?site=" /path/to/your/website/ grep -r "eval(" /path/to/your/website/*.js | grep -v node_modules grep -r "fromCharCode" /path/to/your/website/*.js  # 2. 检查最近修改的文件（可能被上传了 WebShell） find /path/to/your/website/ -type f -mtime -7 -ls# 3. 检查 .htaccess / web.config 是否有异常重定向cat /path/to/your/website/.htaccess | grep -i "redirect\|rewrite"# 4. 检查数据库中的注入（WordPress 特别注意） mysql -u root -p -e "SELECT * FROM wp_options WHERE option_value LIKE '%t.js%';"# 5. 扫描已知的恶意注入域名（SilentPush 公布的 80+ 域名）# 在你的网站源码中搜索这些域名关键词

如果你是普通用户

| 防护措施 | 具体操作 | | — | — | | 浏览器更新 | 只在浏览器菜单 → 关于 → 检查更新，不要点击任何弹窗更新 | | 弹窗命令 | 任何让你复制粘贴命令到终端的页面，直接关闭 | | 密码管理 | 启用双重认证（2FA），不要用浏览器保存密码 | | 网站安全 | 访问网站时看地址栏，https:// + 绿色锁标志 | | 异常提示 | 遇到”错误代码请复制命令修复”，100% 是钓鱼 |

---

🔧 开发者必看：如何防止你的项目被供应链攻击

这次攻击虽然主要针对网站，但供应链攻击的风险同样值得警惕。SilentPush 同期还发现了针对 npm 包的凭据窃取蠕虫攻击（Miasma 行动），目标包括 Red Hat 的官方命名空间。

给你的项目加锁：

# 1. 锁定依赖版本（不要用 ^ 和 ~）# package.json 中："dependencies": { &nbsp; "express": "4.18.2" &nbsp; &nbsp;// ✅ 锁定版本 &nbsp; # "express": "^4.18.2" &nbsp;// ❌ 可能被污染 } &nbsp;# 2. 使用 npm audit 定期检查 npm audit --production &nbsp;# 3. 安装前验证包来源 npm view <package-name> repository.url &nbsp;# 4. CI/CD 中加入依赖扫描# .github/workflows/security.yml - name: Security Audit &nbsp; run: npm audit --audit-level=high

GitHub Actions 安全检查清单：

☐锁定 Actions 版本（不用 @main，用 @v4.1.2）

☐启用 Dependabot 自动扫描

☐代码审查必须包含依赖变更检查

☐生产环境构建使用锁文件（package-lock.json）

---

📌 关键结论

①ClickFix 不是漏洞，是心理战 — 它利用的是你的”解决问题”心理，让你自己执行恶意命令。没有任何技术能完全防御，唯一的防线是你的警惕性。

②FakeUpdate 进化了 — 不再是粗糙的弹窗，而是精准匹配你的浏览器、操作系统，做得跟真的一模一样。

③你的网站可能已经被黑了 — 如果你管理任何面向公众的网站，立刻用上面的命令检查。DriveSurge 的注入非常隐蔽，常规监控可能发现不了。

④供应链攻击在加速 — npm 包、GitHub Actions、CI/CD 管道，每一条供应链都在被攻击者盯上。锁定版本、定期审计、最小权限，这三件事现在不做，出事就来不及了。

---

💡 一句话总结

不要相信任何弹窗，不要复制任何命令，不要点击任何更新链接。

你的警惕，是最好的防火墙。

---

本文基于 SilentPush 2026 年 6 月 1 日发布的 DriveSurge 研究报告编写。 来源：BleepingComputer、The Hacker News

---

觉得有用？转发给你身边的开发者和网站管理员，可能帮他们避免一次灾难。

SECURITY · RCS-TEAM

关注 RCS-TEAM 安全团队

聚焦安全研究、漏洞分析、攻防技术与行业观察          持续输出高质量安全内容

长按识别二维码，立即关注

点击下方公众号名片关注

微信生态内建议同时插入官方“公众号名片”组件，提升关注转化

COMMUNITY · SECURITY GROUP

加入 RCS-TEAM 安全交流群

想继续交流漏洞分析、攻防实践和文章里的细节补充，

                                         欢迎扫码进群。

           群内会不定期分享复现思路、工具经验和最新讨论。

           扫码即可加入交流，二维码失效可在后台回复「加群」。

实战问题、漏洞思路、工具踩坑都可以在群里继续聊          也欢迎直接反馈你想看的后续选题

扫码加入交流群

若二维码失效或群满，请在后台回复「加群」

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：RCS-TEAM RCS-TEAM安全团队 RCS-TEAM安全团队《数千网站被劫持！新型ClickFix+FakeUpdate攻击正在偷你的密码，99% 的人都中招过》