عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة إضافة CrashFix لمتصفح Chrome

إضافة CrashFix لمتصفح Chrome

بواسطة Mezo في البرمجيات الخبيثة, التهديد المستمر المتقدم (APT)
ترجمة الى:

كشف باحثو الأمن السيبراني عن حملة نشطة، تُعرف باسم KongTuke، تستغل إضافة خبيثة لمتصفح جوجل كروم تتظاهر بأنها مانع إعلانات. صُممت هذه الإضافة لتعطيل المتصفح عمدًا والتلاعب بالضحايا لحملهم على تنفيذ أوامر يتحكم بها المهاجمون، وذلك من خلال هندسة اجتماعية على غرار ClickFix. أُطلق على هذا التطور الأخير للتقنية اسم CrashFix، وهو يُطلق في نهاية المطاف حصان طروادة للتحكم عن بُعد غير موثق سابقًا يُعرف باسم ModeloRAT.

يعمل برنامج KongTuke، المعروف أيضاً باسم 404 TDS وChaya_002 وLandUpdate808 وTAG-124، كنظام لتوزيع حركة البيانات (TDS). يقوم هذا البرنامج بتحليل بيئات الضحايا وإعادة توجيه أهداف محددة إلى بنية تحتية لتوصيل الحمولة الخبيثة. بعد ذلك، يتم بيع أو نقل الوصول إلى الأجهزة المصابة إلى جهات تهديد أخرى، بما في ذلك مشغلي برامج الفدية، لتمكين عمليات اختراق ثانوية.

تشمل مجموعات التهديد التي سبق رصدها وهي تستغل بنية TAG-124 التحتية برامج الفدية Rhysida وInterlock وTA866 (Asylum Ambuscade). كما تم ربط هذا النشاط ببرنامجي SocGholish وD3F@ck Loader، وفقًا لتقرير صدر في أبريل 2025.

من متجر Chrome الإلكتروني إلى التسوية

في سلسلة العدوى الموثقة، بحث الضحايا عبر الإنترنت عن مانع إعلانات وتم عرض إعلان خبيث عليهم أعاد توجيههم إلى ملحق متصفح مستضاف مباشرة على متجر Chrome الإلكتروني الرسمي.

كانت الإضافة، المسماة "NexShield – Advanced Web Guardian" (المعرف: cpcdkmjddocikjdkbbeiaafnpdbdafmi)، تُقدم نفسها على أنها "درع خصوصية مثالي" وتدّعي حجب الإعلانات، وبرامج التتبع، والبرامج الضارة، ومحتوى الويب المتطفل. قبل إزالتها، بلغ عدد مرات تحميلها 5000 مرة على الأقل.

من الناحية التقنية، كان هذا الامتداد نسخة طبق الأصل تقريبًا من امتداد شرعي لحجب الإعلانات. إلا أنه، تحت واجهته المألوفة، صُمم لعرض تحذير أمني مُختلق يُفيد بأن المتصفح قد "توقف بشكل غير طبيعي"، ويحث المستخدمين على بدء فحص وهمي يُزعم ارتباطه بمتصفح مايكروسوفت إيدج.

هندسة التصادم من أجل بناء الثقة

إذا نقر المستخدم لتشغيل الفحص، يعرض الملحق تعليمات لفتح مربع حوار "تشغيل" في نظام ويندوز وتنفيذ أمر سبق نسخه إلى الحافظة. وبمجرد حدوث ذلك، يُطلق الملحق عمدًا عملية حجب الخدمة، مُنشئًا اتصالات منافذ لا نهائية عبر حلقة لا نهائية، مُكررًا الخطوة نفسها حتى مليار مرة.

تسبب هذا الاستنزاف للموارد في استهلاك مفرط للذاكرة، مما أدى إلى بطء المتصفح وعدم استجابته، وفي النهاية إلى تعطله. لم يكن عدم الاستقرار المتعمد أثرًا جانبيًا، بل كان هو الشرارة التي أشعلت فتيل الهندسة الاجتماعية.

بعد تثبيت الإضافة، أرسلت مُعرّفًا فريدًا إلى خادم يتحكم به المهاجم على موقع nexsnield[.]com، مما مكّن من تتبع الضحية. تأخر النشاط الضار لمدة 60 دقيقة بعد التثبيت، ثم أعيد تنفيذه كل 10 دقائق.

قبل بدء عملية هجوم حجب الخدمة، كان الملحق يخزن طابعًا زمنيًا في وحدة التخزين المحلية. وعندما يُجبر المستخدم على إغلاق المتصفح وإعادة تشغيله، يتحقق معالج بدء التشغيل من هذه القيمة. إذا كانت موجودة، تظهر نافذة CrashFix المنبثقة ثم تحذف الطابع الزمني، مما يوحي بأن التحذير كان نتيجة للعطل وليس سببه.

لم يتم تنفيذ عملية حجب الخدمة إلا عند استيفاء ثلاثة شروط: وجود مُعرّف فريد عالمي (UUID) للضحية، واستجابة خادم التحكم والسيطرة بنجاح، وفتح النافذة المنبثقة وإغلاقها مرة واحدة على الأقل. يشير هذا المنطق بقوة إلى أن المشغلين أرادوا التأكد من تفاعل المستخدم قبل تفعيل حلقة الحمولة بالكامل.

كانت النتيجة حلقة مفرغة. فكل إعادة تشغيل قسرية بعد توقف النظام تُعيد ظهور التحذير الوهمي. وإذا بقي الملحق مثبتًا، يعود سلوك التعطل بعد عشر دقائق.

التعتيم، ومناهضة التحليل، والعيش على خيرات الأرض

وقد طبقت النافذة المنبثقة المزيفة العديد من إجراءات مكافحة التحليل، حيث قامت بتعطيل قوائم السياق الخاصة بالنقر بزر الماوس الأيمن وحظر اختصارات لوحة المفاتيح المستخدمة عادةً للوصول إلى أدوات المطورين.

استغل أمر CrashFix أداة Finger.exe الشرعية لنظام التشغيل Windows لاسترداد وتنفيذ حمولة ثانوية من 199.217.98[.]108. وقد تم توثيق استخدام KongTuke لأداة Finger سابقًا في ديسمبر 2025.

كانت الحمولة التي تم تنزيلها عبارة عن أمر PowerShell قام بجلب نص برمجي إضافي، والذي أخفى محتواه من خلال طبقات متعددة من ترميز Base64 وعمليات XOR، مما يعكس التقنيات المرتبطة منذ فترة طويلة بحملات SocGholish.

بعد فك التشفير، قام البرنامج النصي بفحص العمليات النشطة بحثًا عن أكثر من 50 أداة تحليل معروفة ومؤشرات للأجهزة الافتراضية، وتوقف فورًا في حال العثور على أي منها. كما قام بتقييم ما إذا كان النظام منضمًا إلى نطاق أو جزءًا من مجموعة عمل مستقلة، ثم أرسل طلب HTTP POST إلى الخادم نفسه يحتوي على ما يلي:

  • قائمة بمنتجات مكافحة الفيروسات المثبتة
  • علامة تصنيف المضيف: 'ABCD111' للأنظمة المستقلة و'BCDA222' للأجهزة المنضمة إلى نطاق

موديلورات: مصمم خصيصًا للبيئات المؤسسية

إذا تم تحديد النظام المصاب على أنه منضم إلى نطاق، فإن سلسلة العدوى تنتهي بنشر برنامج ModeloRAT، وهو حصان طروادة للوصول عن بُعد إلى نظام ويندوز، مبني على لغة بايثون. يتواصل هذا البرنامج الخبيث عبر قنوات مشفرة باستخدام خوارزمية RC4 مع خوادم التحكم والسيطرة على العنوانين 170.168.103[.]208 أو 158.247.252[.]178.

يُنشئ برنامج ModeloRAT اتصالاً دائماً عبر سجل نظام ويندوز، ويدعم تنفيذ الملفات الثنائية، ومكتبات الارتباط الديناميكي (DLLs)، وبرامج بايثون النصية، وأوامر باور شيل. كما يتضمن أدوات تحكم مدمجة في دورة حياة البرنامج، مما يسمح للمشغلين بتحديث البرنامج عن بُعد أو إيقافه باستخدام أوامر مخصصة.

يطبق برنامج RAT استراتيجية إرسال إشارات متعددة المستويات مصممة للتهرب من الكشف السلوكي:

  • في الظروف العادية، يقوم الجهاز بإصدار إشارة كل 300 ثانية.
  • عند تحويلها إلى الوضع النشط بواسطة الخادم، تقوم بالاستقصاء بشكل مكثف على فترات زمنية قابلة للتكوين، وتكون القيمة الافتراضية 150 مللي ثانية.
  • بعد ستة حالات فشل متتالية في الاتصال، يتراجع النظام إلى فترات زمنية مدتها 900 ثانية.
  • بعد حدوث عطل واحد، يحاول إعادة الاتصال بعد 150 ثانية قبل العودة إلى التوقيت القياسي.

تتيح هذه الآلية التكيفية لـ ModeloRAT الاندماج في حركة مرور الشبكة مع الاستمرار في دعم التفاعل السريع للمشغل عند الحاجة.

استراتيجية العدوى ذات المسارين

بينما يشير نشر برنامج ModeloRAT على الأنظمة المتصلة بالنطاق بقوة إلى التركيز على بيئات الشركات واختراق الشبكات بشكل أعمق، فقد تم توجيه الأجهزة المستقلة عبر تسلسل متعدد المراحل مختلف. في تلك الحالات، استجاب خادم التحكم والسيطرة في النهاية برسالة "حمولة اختبارية!!!!"، مما يوحي بأن مسار العدوى الموازي هذا قد لا يزال قيد التطوير.

الصورة الأكبر: الهندسة الاجتماعية بالتصميم

تُجسّد حملة CrashFix التي أطلقتها KongTuke كيف يُطوّر المهاجمون المعاصرون أساليب الهندسة الاجتماعية لتُصبح حلقة تحكّم مُحكمة. فمن خلال انتحال صفة مشروع مفتوح المصدر موثوق، وتعطيل استقرار المتصفح عمدًا، ثم تقديم حل مُزيّف، نجح المهاجمون في تحويل إحباط المستخدمين إلى امتثال.

توضح هذه العملية كيف يمكن دمج ملحقات المتصفح والأسواق الموثوقة وأدوات العيش على الأرض في سلسلة عدوى مرنة، وهي سلسلة تستمر ليس من خلال التخفي فقط، ولكن من خلال التلاعب المتكرر بالضحية لحثها على إطلاق الهجوم بنفسها.

الشائع

تم اعتراض عملية تحويل أموال عبر البريد الإلكتروني...

التصيد الاحتيالي, رسائل إلكترونية مزعجة
يُعدّ توخي الحذر عند التعامل مع رسائل البريد الإلكتروني غير المرغوب فيها أو غير المتوقعة أمرًا بالغ الأهمية. فكثيرًا ما يستغل مجرمو الإنترنت عنصر المفاجأة والاستعجال والفضول للتلاعب بالمتلقين وحملهم على اتخاذ قرارات متسرعة. وتُعتبر الرسائل التي تعد بمبالغ طائلة أو تدّعي أنها تتضمن "تحويلات مالية مُعترضة" خطيرة للغاية، ويجب التعامل معها دائمًا بحذر شديد. ما هي عملية الاحتيال عبر البريد...

Securesearchtech.net

المواقع المارقة, متصفحات الخاطفين, البرامج غير المرغوب فيها
يُعدّ حماية أجهزة الكمبيوتر والأجهزة المحمولة من البرامج غير المرغوب فيها (PUPs) المتطفلة وغير الموثوقة أمرًا بالغ الأهمية للأمان الرقمي. غالبًا ما تعمل هذه التطبيقات بطرق خادعة، وتتداخل مع التصفح...

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
28,759
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...