Slevová nabídka pro více licencí
Databáze hrozeb Malware Rozšíření CrashFix pro Chrome

Rozšíření CrashFix pro Chrome

V roce Mezo v roce Malware, Pokročilá trvalá hrozba (APT)
Přeložit do:

Výzkumníci v oblasti kybernetické bezpečnosti odhalili aktivní kampaň s názvem KongTuke, která zneužívá škodlivé rozšíření pro Google Chrome, jež se vydává za blokovač reklam. Rozšíření je navrženo tak, aby úmyslně způsobilo pád prohlížeče a manipulovalo oběti k provádění útočníkem ovládaných příkazů prostřednictvím sociálního inženýrství ve stylu ClickFix. Tato nejnovější evoluce této techniky dostala kódové označení CrashFix a v konečném důsledku vytváří dosud nezdokumentovaný trojský kůň pro vzdálený přístup známý jako ModeloRAT.

KongTuke, sledovaný také jako 404 TDS, Chaya_002, LandUpdate808 a TAG-124, funguje jako systém distribuce provozu (TDS). Profiluje prostředí obětí a přesměrovává vybrané cíle na infrastrukturu pro doručování škodlivého obsahu. Přístup k infikovaným hostitelům je poté prodáván nebo převáděn jiným aktérům hrozby, včetně provozovatelů ransomwaru, aby umožnil sekundární kompromitace.

Mezi dříve pozorované skupiny hrozeb využívající infrastrukturu TAG-124 patří ransomware Rhysida, ransomware Interlock a TA866 (Asylum Ambuscade). Podle zprávy z dubna 2025 byla tato aktivita spojována také se SocGholish a D3F@ck Loader.

Z internetového obchodu Chrome ke kompromisu

V zdokumentovaném řetězci infekce oběti hledaly na internetu blokovač reklam a byla jim zobrazována škodlivá reklama, která je přesměrovávala na rozšíření prohlížeče hostované přímo v oficiálním internetovém obchodě Chrome.

Rozšíření s názvem „NexShield – Advanced Web Guardian“ (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi) se prezentovalo jako „dokonalý štít soukromí“ a tvrdilo, že blokuje reklamy, trackery, malware a rušivý webový obsah. Před odstraněním nashromáždilo nejméně 5 000 stažení.

Technicky vzato bylo rozšíření téměř identickým klonem legitimního rozšíření pro blokování reklam. Pod známým rozhraním však bylo navrženo tak, aby zobrazovalo smyšlené bezpečnostní varování, které uvádělo, že prohlížeč „abnormálně zastavil“, a vyzývalo uživatele ke spuštění falešné kontroly údajně spojené s Microsoft Edge.

Navrhování krachu k důvěře ve výrobu

Pokud uživatel klikl pro spuštění skenování, rozšíření zobrazilo pokyny k otevření dialogového okna Spustit systému Windows a provedení příkazu, který již byl zkopírován do schránky. Jakmile k tomu došlo, rozšíření úmyslně spustilo rutinu odmítnutí služby, která vytvářela nekonečná připojení k portům za běhu prostřednictvím nekonečné smyčky a opakovala stejný krok až miliardkrát.

Toto vyčerpání zdrojů způsobilo extrémní spotřebu paměti, což zpomalilo prohlížeč, způsobilo, že přestal reagovat, a nakonec vyvolalo jeho pád. Záměrná nestabilita nebyla vedlejším účinkem, ale spouštěčem sociálního inženýrství.

Po instalaci rozšíření odeslalo jedinečný identifikátor na server ovládaný útočníkem na adrese nexsnield[.]com, což umožnilo sledování oběti. Škodlivá aktivita byla po instalaci zpožděna o 60 minut, po kterých se každých 10 minut znovu spouštěla.

Před spuštěním rutiny DoS rozšíření uložilo časové razítko do lokálního úložiště. Když uživatel vynuceně ukončil a restartoval prohlížeč, obslužná rutina spouštění tuto hodnotu zkontrolovala. Pokud byla hodnota přítomna, objevilo se vyskakovací okno CrashFix a poté časové razítko odstranilo, čímž se vytvořila iluze, že varování bylo důsledkem pádu, nikoli jeho příčinou.

Rutina DoS byla provedena pouze tehdy, když byly splněny tři podmínky: existovalo UUID oběti, server C&C úspěšně odpověděl a vyskakovací okno bylo alespoň jednou otevřeno a zavřeno. Tato logika silně naznačuje, že operátoři chtěli ověřit interakci uživatele před plnou aktivací smyčky datového zatížení.

Výsledkem byl samovolně se udržující cyklus. Každý vynucený restart po zamrznutí znovu spustil falešné varování. Pokud rozšíření zůstalo nainstalované, pád se po deseti minutách obnovil.

Zamlžování, antianalýza a život z půdy

Falešné vyskakovací okno implementovalo několik opatření proti analýze, deaktivovalo kontextové nabídky po kliknutí pravým tlačítkem myši a blokovalo klávesové zkratky obvykle používané pro přístup k nástrojům pro vývojáře.

Příkaz CrashFix zneužil legitimní utilitu finger.exe systému Windows k načtení a spuštění datové zátěže sekundární fáze z adresy 199.217.98[.]108. Použití utility Finger serverem KongTuke bylo dříve zdokumentováno v prosinci 2025.

Stažený datový soubor byl příkaz PowerShellu, který načítal další skript, jenž skrýval svůj obsah pomocí několika vrstev kódování Base64 a operací XOR, což připomínalo techniky dlouho spojované s kampaněmi SocGholish.

Po dešifrování skript prohledal aktivní procesy a našel více než 50 známých analytických nástrojů a indikátorů virtuálních strojů. Pokud nějaké nalezl, okamžitě je ukončil. Také vyhodnotil, zda je systém připojen k doméně nebo je součástí samostatné pracovní skupiny, a poté odeslal zpět na stejný server požadavek HTTP POST obsahující:

  • Seznam nainstalovaných antivirových produktů
  • Příznak klasifikace hostitele: „ABCD111“ pro samostatné systémy a „BCDA222“ pro počítače připojené k doméně

ModeloRAT: Přizpůsobeno pro firemní prostředí

Pokud byl infikovaný systém identifikován jako připojený k doméně, řetězec infekce vyvrcholil nasazením ModeloRAT, trojského koně pro vzdálený přístup k systému Windows založeného na Pythonu. Malware komunikuje přes kanály šifrované pomocí RC4 s velitelskými a kontrolními servery na adrese 170.168.103[.]208 nebo 158.247.252[.]178.

ModeloRAT zajišťuje perzistenci prostřednictvím registru Windows a podporuje spouštění binárních souborů, DLL, skriptů Pythonu a příkazů PowerShellu. Obsahuje také vestavěné ovládací prvky životního cyklu, které umožňují operátorům vzdáleně aktualizovat implantát nebo jej ukončit pomocí vyhrazených příkazů.

RAT implementuje vícevrstvou strategii beaconingu, která je navržena tak, aby se vyhnula detekci chování:

  • Za normálních podmínek vydává signál každých 300 sekund.
  • Když server přepne do aktivního režimu, provádí agresivní dotazování v konfigurovatelném intervalu, standardně 150 milisekund.
  • Po šesti po sobě jdoucích selháních komunikace se přepne na 900sekundové intervaly.
  • Po jediném selhání se po 150 sekundách pokusí o opětovné připojení, než se vrátí ke standardnímu časování.

Tato adaptivní logika umožňuje ModeloRAT začlenit se do síťového provozu a zároveň v případě potřeby podporovat rychlou interakci operátora.

Dvoucestná strategie infekce

Zatímco nasazení ModeloRAT na systémech připojených k doméně silně naznačuje zaměření na firemní prostředí a hlubší penetraci sítě, samostatné počítače byly směrovány přes jinou vícestupňovou sekvenci. V těchto případech server command-and-control nakonec reagoval zprávou „TEST PAYLOAD!!!!“, což naznačuje, že tato paralelní cesta infekce může být stále ve vývoji.

Širší obraz: Sociální inženýrství jako návrh

Kampaň CrashFix od KongTuke ilustruje, jak moderní hackeri zdokonalují sociální inženýrství v plně navrženou řídicí smyčku. Vydáváním se za důvěryhodný open-source projekt, úmyslnou destabilizací prohlížeče a následným prezentací falešné opravy útočníci proměnili frustraci uživatelů v dodržování předpisů.

Tato operace demonstruje, jak lze rozšíření prohlížeče, důvěryhodná tržiště a nástroje pro živobytí ze země propojit do odolného infekčního řetězce, který přetrvává nejen díky nenápadnosti, ale také opakovanou manipulací oběti, aby sama spustila útok.

Trendy

Podvod s zachyceným e-mailem o převodu finančních...

Phishing, Spam
Při řešení nevyžádaných nebo neočekávaných e-mailů je nezbytné zůstat ostražití. Kyberzločinci často zneužívají překvapení, naléhavosti a zvědavosti k manipulaci příjemců a k jejich ukvapeným rozhodnutím. Zprávy, které slibují velké částky peněz nebo tvrdí, že zahrnují „zachycené převody“, jsou obzvláště nebezpečné a měly by být vždy brány se skepticismem. Co je to podvodný e-mail s názvem...

Nejvíce shlédnuto

Načítání...