DriveSurgeはどんな脅威アクターですか？

A.数千もの正規のウェブサイトを改ざんする大規模な脅威アクターです。

偽のブラウザ更新やエラー画面を使い、ユーザをマルウェア感染へ誘導します。自身で身代金を要求するのではなく、感染済みデバイスへのアクセス権を別の攻撃グループに転売して利益を得ています。

改ざんされたサイトでは、訪問者が調査目的のアクセスか一般ユーザかを判別する仕組みが使われています。一般ユーザと判定された場合には、FakeUpdatesやClickFixといった偽画面が表示されます。

見慣れたサイトや公式風の見た目が使われるため、視覚だけで見分けるのは難しいと言えます。

ブラウザ更新は正規の設定メニューから行い、Webサイト上の指示でコマンドを実行しないことが重要になりそうです。

大規模に活動するDriveSurge https://constella-sec.jp/blog/hobokomo-securitynews/tips-1215/