Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Extensió CrashFix per a Chrome

Extensió CrashFix per a Chrome

El Mezo el Programari maliciós, Amenaça persistent avançada (APT)
Traduir a:

Investigadors de ciberseguretat han descobert una campanya activa, anomenada KongTuke, que utilitza una extensió maliciosa de Google Chrome fent-se passar per un bloquejador d'anuncis. L'extensió està dissenyada per fer fallar deliberadament el navegador i manipular les víctimes perquè executin ordres controlades per l'atacant mitjançant enginyeria social a l'estil ClickFix. Aquesta última evolució de la tècnica ha rebut el nom en clau CrashFix i, en última instància, produeix un troià d'accés remot indocumentat anteriorment conegut com a ModeloRAT.

KongTuke, també registrat com a 404 TDS, Chaya_002, LandUpdate808 i TAG-124, funciona com un sistema de distribució de trànsit (TDS). Crea perfils dels entorns de les víctimes i redirigeix els objectius seleccionats a una infraestructura de lliurament de càrrega útil maliciosa. L'accés als hosts infectats es ven o es transfereix a altres actors d'amenaces, inclosos els operadors de ransomware, per permetre compromisos de fase secundària.

Entre els grups d'amenaces que s'han observat anteriorment que aprofiten la infraestructura TAG-124 hi ha el ransomware Rhysida, el ransomware Interlock i el TA866 (Asylum Ambuscade). L'activitat també s'ha relacionat amb SocGholish i D3F@ck Loader, segons un informe de l'abril de 2025.

De la Chrome Web Store al compromís

A la cadena d'infecció documentada, les víctimes buscaven en línia un bloquejador d'anuncis i rebien un anunci maliciós que les redirigia a una extensió del navegador allotjada directament a la Chrome Web Store oficial.

L'extensió, anomenada "NexShield – Advanced Web Guardian" (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi), es presentava com un "escut de privadesa definitiu" que afirmava bloquejar anuncis, rastrejadors, programari maliciós i contingut web intrusiu. Abans de la seva eliminació, acumulava almenys 5.000 descàrregues.

Tècnicament, l'extensió era un clon gairebé idèntic d'una extensió legítima de bloqueig d'anuncis. Sota la interfície familiar, però, estava dissenyada per mostrar un avís de seguretat fabricat que indicava que el navegador s'havia "aturat de manera anormal" i que demanava als usuaris que iniciessin una anàlisi falsa suposadament vinculada a Microsoft Edge.

Enginyar un crac per fabricar confiança

Si l'usuari feia clic per executar l'escaneig, l'extensió mostrava instruccions per obrir el quadre de diàleg Executar de Windows i executar una ordre que ja s'havia copiat al porta-retalls. Tan bon punt això passava, l'extensió iniciava intencionadament una rutina de denegació de servei que creava connexions de port en temps d'execució infinites a través d'un bucle infinit, repetint el mateix pas fins a mil milions de vegades.

Aquest esgotament de recursos va provocar un consum extrem de memòria, fent que el navegador es tornés lent, no respongués i, finalment, provoqués una fallada. La inestabilitat deliberada no va ser un efecte secundari, sinó el desencadenant de l'enginyeria social.

Un cop instal·lada, l'extensió transmetia un identificador únic a un servidor controlat per l'atacant a nexsnield[.]com, permetent el seguiment de les víctimes. L'activitat maliciosa es retardava 60 minuts després de la instal·lació, després dels quals es tornava a executar cada 10 minuts.

Abans d'iniciar la rutina DoS, l'extensió emmagatzemava una marca de temps a l'emmagatzematge local. Quan l'usuari tancava el navegador per força i el reiniciava, un controlador d'inici comprovava aquest valor. Si n'hi havia, apareixia la finestra emergent CrashFix i després esborrava la marca de temps, creant la il·lusió que l'avís era una conseqüència de l'error en lloc de la seva causa.

La rutina DoS només s'executava quan es complien tres condicions: l'UUID de la víctima existia, el servidor de comandament i control responia correctament i la finestra emergent s'havia obert i tancat almenys una vegada. Aquesta lògica suggereix fermament que els operadors volien confirmar la interacció de l'usuari abans d'activar completament el bucle de càrrega útil.

El resultat va ser un cicle autosostenible. Cada reinici forçat després d'una congelació tornava a activar l'avís fals. Si l'extensió romania instal·lada, el comportament de bloqueig es reprenia al cap de deu minuts.

Ofuscació, antianàlisi i viure fora de la terra

La finestra emergent falsa va implementar diverses mesures antianàlisi, desactivant els menús contextuals del clic dret i bloquejant les dreceres de teclat que s'utilitzen normalment per accedir a les eines de desenvolupador.

L'ordre CrashFix va fer un ús abusiu de la utilitat legítima de Windows finger.exe per recuperar i executar una càrrega útil de fase secundària des de 199.217.98[.]108. L'ús de la utilitat Finger per part de KongTuke ja s'havia documentat anteriorment el desembre de 2025.

La càrrega útil descarregada era una ordre de PowerShell que obtenia un script addicional, que ocultava el seu contingut a través de múltiples capes de codificació Base64 i operacions XOR, fent ressò de tècniques associades des de fa temps a les campanyes de SocGholish.

Un cop desxifrat, l'script va escanejar els processos actius a la recerca de més de 50 eines d'anàlisi conegudes i indicadors de màquines virtuals i es va tancar immediatament si en trobava algun. També va avaluar si el sistema estava unit a un domini o formava part d'un grup de treball autònom i, a continuació, va enviar una sol·licitud HTTP POST al mateix servidor que contenia:

  • Una llista de productes antivirus instal·lats
  • Un indicador de classificació d'amfitrió: 'ABCD111' per a sistemes autònoms i 'BCDA222' per a màquines unides a un domini

ModeloRAT: Adaptat per a entorns corporatius

Si el sistema infectat s'identificava com a unit a un domini, la cadena d'infecció culminava amb el desplegament de ModeloRAT, un troià d'accés remot de Windows basat en Python. El programari maliciós es comunica a través de canals xifrats amb RC4 amb servidors de comandament i control a 170.168.103[.]208 o 158.247.252[.]178.

ModeloRAT estableix persistència a través del Registre de Windows i admet l'execució de binaris, DLL, scripts de Python i ordres de PowerShell. També inclou controls de cicle de vida integrats, que permeten als operadors actualitzar l'implant de forma remota o finalitzar-lo mitjançant ordres dedicades.

El RAT implementa una estratègia de balises multinivell dissenyada per evadir la detecció del comportament:

  • En condicions normals, emet una balisa cada 300 segons.
  • Quan el servidor el canvia al mode actiu, fa sondejos agressius a un interval configurable, per defecte de 150 mil·lisegons.
  • Després de sis errors de comunicació consecutius, retrocedeix a intervals de 900 segons.
  • Després d'un sol error, intenta la reconnexió després de 150 segons abans de tornar al temps estàndard.

Aquesta lògica adaptativa permet que ModeloRAT s'integri amb el trànsit de la xarxa i, alhora, permet una interacció ràpida de l'operador quan cal.

Una estratègia d’infecció de doble via

Tot i que el desplegament de ModeloRAT en sistemes units a dominis indica clarament un enfocament en entorns corporatius i una penetració de xarxa més profunda, les màquines autònomes es van encaminar a través d'una seqüència de diverses etapes diferent. En aquests casos, el servidor de comandament i control finalment va respondre amb el missatge "TEST PAYLOAD!!!!", cosa que suggereix que aquesta ruta d'infecció paral·lela encara podria estar en desenvolupament.

La visió més àmplia: enginyeria social per disseny

La campanya CrashFix de KongTuke il·lustra com els actors d'amenaces moderns estan refinant l'enginyeria social fins a convertir-la en un bucle de control completament dissenyat. En fer-se passar per un projecte de codi obert de confiança, desestabilitzant intencionadament el navegador i presentant una solució falsificada, els atacants van transformar la frustració de l'usuari en compliment de les normes.

L'operació demostra com les extensions del navegador, els mercats de confiança i les eines que viuen fora de la terra es poden fusionar en una cadena d'infecció resilient, que persisteix no només de manera furtiva, sinó manipulant repetidament la víctima perquè desencadeni l'atac ella mateixa.

Tendència

Més vist

Carregant...