Разширение за Chrome CrashFix
Изследователи по киберсигурност разкриха активна кампания, наречена KongTuke, която злоупотребява със злонамерено разширение за Google Chrome, представящо се за блокиране на реклами. Разширението е проектирано умишлено да срива браузъра и да манипулира жертвите да изпълняват контролирани от нападателя команди чрез социално инженерство в стил ClickFix. Тази последна еволюция на техниката е с кодово име CrashFix и в крайна сметка създава недокументиран досега троянски кон за отдалечен достъп, известен като ModeloRAT.
KongTuke, проследяван още като 404 TDS, Chaya_002, LandUpdate808 и TAG-124, работи като система за разпределение на трафика (TDS). Тя профилира среди на жертвите и пренасочва избрани цели към инфраструктура за доставяне на злонамерен полезен товар. След това достъпът до заразените хостове се продава или прехвърля на други злонамерени участници, включително оператори на ransomware, за да се осъществят компрометации на вторичен етап.
Групи за заплахи, наблюдавани по-рано да използват инфраструктурата TAG-124, включват рансъмуер вирусите Rhysida, Interlock и TA866 (Asylum Ambuscade). Според доклад от април 2025 г., активността е била свързана и със SocGholish и D3F@ck Loader.
Съдържание
От уеб магазина на Chrome до компромис
В документираната верига от инфекции, жертвите са търсили онлайн блокер на реклами и са получавали злонамерена реклама, която ги е пренасочвала към разширение за браузър, хоствано директно в официалния уеб магазин на Chrome.
Разширението, наречено „NexShield – Advanced Web Guardian“ (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi), се представяше като „върховен щит за поверителност“, твърдейки, че блокира реклами, тракери, зловреден софтуер и натрапчиво уеб съдържание. Преди премахването му, то натрупа най-малко 5000 изтегляния.
Технически, разширението беше почти идентичен клонинг на легитимно разширение за блокиране на реклами. Под познатия интерфейс обаче то беше проектирано да показва измислено предупреждение за сигурност, в което се казваше, че браузърът е „спрял необичайно“ и се подканваше потребителите да инициират фалшиво сканиране, уж свързано с Microsoft Edge.
Проектиране на срив, за да се постигне доверие в производството
Ако потребителят щракнеше, за да стартира сканирането, разширението показваше инструкции за отваряне на диалоговия прозорец „Изпълнение“ на Windows и изпълнение на команда, която вече е била копирана в клипборда. Веднага щом това се случи, разширението умишлено стартираше рутина за отказ на услуга, която създаваше безкрайни връзки към портове по време на изпълнение чрез безкраен цикъл, повтаряйки една и съща стъпка до един милиард пъти.
Това изчерпване на ресурсите доведе до екстремна консумация на памет, което направи браузъра бавен, неотзивчив и в крайна сметка доведе до срив. Умишлената нестабилност не беше страничен ефект, а спусък на социалното инженерство.
След инсталирането, разширението предава уникален идентификатор на контролиран от хакера сървър на адрес nexsnield[.]com, което позволява проследяване на жертвата. Злонамерената активност се забавя за 60 минути след инсталирането, след което се изпълнява отново на всеки 10 минути.
Преди да стартира DoS рутината, разширението съхранява времеви отпечатък в локалното хранилище. Когато потребителят принудително затваряше и рестартираше браузъра, манипулатор за стартиране проверяваше тази стойност. Ако е налична, се появяваше изскачащ прозорец CrashFix и след това изтриваше времевия отпечатък, създавайки илюзията, че предупреждението е следствие от срива, а не негова причина.
DoS рутината е била изпълнявана само когато са били изпълнени три условия: UUID на жертвата е съществувал, сървърът за командно-контролен контрол е отговорил успешно и изскачащият прозорец е бил отворен и затворен поне веднъж. Тази логика силно подсказва, че операторите са искали да потвърдят взаимодействието с потребителя, преди да активират напълно цикъла на обработка на полезния товар.
Резултатът беше самоподдържащ се цикъл. Всяко принудително рестартиране след замръзване отново задействаше фалшивото предупреждение. Ако разширението останеше инсталирано, поведението при срив се възобновяваше след десет минути.
Замъгляване, антианализ и живот извън земята
Фалшивият изскачащ прозорец е внедрил няколко мерки против анализ, деактивирайки контекстните менюта с десен бутон и блокирайки клавишните комбинации, обикновено използвани за достъп до инструменти за разработчици.
Командата CrashFix е злоупотребила с легитимната помощна програма за Windows finger.exe, за да извлече и изпълни полезен товар от вторичен етап от 199.217.98[.]108. Използването на помощната програма Finger от KongTuke е било документирано преди това през декември 2025 г.
Изтегленият полезен товар представляваше PowerShell команда, която извличаше допълнителен скрипт, скриващ съдържанието си чрез множество слоеве Base64 кодиране и XOR операции, наподобяващи техники, отдавна свързани с кампаниите на SocGholish.
След декриптиране, скриптът сканира активни процеси за повече от 50 известни инструмента за анализ и индикатори за виртуални машини и незабавно прекратява работата си, ако бъдат открити такива. Той също така оценява дали системата е присъединена към домейн или е част от самостоятелна работна група, след което изпраща HTTP POST заявка обратно към същия сървър, съдържаща:
- Списък с инсталирани антивирусни продукти
- Флаг за класификация на хоста: „ABCD111“ за самостоятелни системи и „BCDA222“ за машини, присъединени към домейн
ModeloRAT: Създаден за корпоративна среда
Ако заразената система беше идентифицирана като присъединена към домейн, веригата на заразяване кулминираше в внедряването на ModeloRAT, троянски кон за отдалечен достъп за Windows, базиран на Python. Зловредният софтуер комуникира по RC4-криптирани канали със сървъри за командване и контрол на 170.168.103[.]208 или 158.247.252[.]178.
ModeloRAT установява постоянство чрез системния регистър на Windows и поддържа изпълнението на двоични файлове, DLL файлове, Python скриптове и PowerShell команди. Той също така включва вградени контроли за жизнения цикъл, позволяващи на операторите дистанционно да актуализират импланта или да го прекратяват, използвайки специални команди.
RAT прилага многостепенна стратегия за маячене, предназначена да избегне поведенческо разпознаване:
- При нормални условия, той се включва на всеки 300 секунди.
- Когато сървърът превключи в активен режим, той извършва агресивно запитване през конфигурируем интервал, като по подразбиране е 150 милисекунди.
- След шест последователни неуспеха в комуникацията, се връща към интервали от 900 секунди.
- След единична повреда, той се опитва да се свърже отново след 150 секунди, преди да се върне към стандартното време.
Тази адаптивна логика позволява на ModeloRAT да се слее с мрежовия трафик, като същевременно поддържа бърза намеса на оператора, когато е необходимо.
Двустепенна стратегия за заразяване
Докато внедряването на ModeloRAT върху системи, присъединени към домейн, силно показва фокус върху корпоративни среди и по-дълбоко проникване в мрежата, самостоятелните машини бяха маршрутизирани през различна многоетапна последователност. В тези случаи сървърът за командно-контролен контрол в крайна сметка отговори със съобщението „ТЕСТОВ ПОЛЕЗЕН ТОВАР!!!!“, което предполага, че този паралелен път на заразяване може все още да е в процес на разработка.
По-голямата картина: Социално инженерство по дизайн
Кампанията CrashFix на KongTuke илюстрира как съвременните хакери усъвършенстват социалното инженерство в напълно проектиран контролен цикъл. Като се представят за надежден проект с отворен код, умишлено дестабилизират браузъра и след това представят фалшива корекция, нападателите трансформират разочарованието на потребителите в съответствие с изискванията.
Операцията демонстрира как разширенията на браузъра, надеждните пазари и инструментите за препитание могат да бъдат обединени в устойчива верига от инфекции, която се запазва не само чрез скритост, но и чрез многократно манипулиране на жертвата, за да задейства самата атака.
