Rabattilbud med flere licenser
Trusseldatabase Malware CrashFix Chrome-udvidelse

CrashFix Chrome-udvidelse

Med Mezo i Malware, Advanced Persistent Threat (APT)
Oversæt til:

Cybersikkerhedsforskere har afsløret en aktiv kampagne, kaldet KongTuke, der misbruger en ondsindet Google Chrome-udvidelse, der udgiver sig for at være en annonceblokerer. Udvidelsen er konstrueret til bevidst at få browseren til at crashe og manipulere ofre til at udføre angriberstyrede kommandoer gennem ClickFix-lignende social engineering. Denne seneste udvikling af teknikken har fået kodenavnet CrashFix og leverer i sidste ende en hidtil udokumenteret fjernadgangstrojaner kendt som ModeloRAT.

KongTuke, også sporet som 404 TDS, Chaya_002, LandUpdate808 og TAG-124, fungerer som et trafikdistributionssystem (TDS). Det profilerer offermiljøer og omdirigerer udvalgte mål til ondsindet payload-leveringsinfrastruktur. Adgang til inficerede værter sælges eller overføres derefter til andre trusselsaktører, herunder ransomware-operatører, for at muliggøre sekundære kompromitteringer.

Trusselgrupper, der tidligere er observeret ved at udnytte TAG-124-infrastrukturen, omfatter Rhysida ransomware, Interlock ransomware og TA866 (Asylum Ambuscade). Aktiviteten er også blevet forbundet med SocGholish og D3F@ck Loader, ifølge en rapport fra april 2025.

Fra Chrome Webshop til kompromis

I den dokumenterede infektionskæde søgte ofrene online efter en annonceblokker og fik vist en ondsindet annonce, der omdirigerede dem til en browserudvidelse, der var hostet direkte i den officielle Chrome Web Store.

Udvidelsen, kaldet 'NexShield – Advanced Web Guardian' (ID: cpcdkmjddocijdkbbeiaafnpdbdafmi), præsenterede sig selv som et 'ultimativt privatlivsskjold', der hævdede at blokere annoncer, trackere, malware og påtrængende webindhold. Før den blev fjernet, havde den akkumuleret mindst 5.000 downloads.

Teknisk set var udvidelsen en næsten identisk klon af en legitim annonceblokerende udvidelse. Under den velkendte brugerflade var den dog designet til at vise en opdigtet sikkerhedsadvarsel, der angav, at browseren var "stoppet unormalt" og bad brugerne om at starte en falsk scanning, der angiveligt var knyttet til Microsoft Edge.

At konstruere et krak for at skabe tillid

Hvis brugeren klikkede for at køre scanningen, viste udvidelsen instruktioner om at åbne Windows Kør-dialogboksen og udføre en kommando, der allerede var kopieret til udklipsholderen. Så snart dette skete, startede udvidelsen bevidst en denial-of-service-rutine, der oprettede endeløse runtime-portforbindelser gennem en uendelig løkke og gentog det samme trin op til en milliard gange.

Denne ressourceudmattelse forårsagede ekstremt hukommelsesforbrug, hvilket gjorde browseren langsom, uresponsiv og i sidste ende fremtvang et nedbrud. Den bevidste ustabilitet var ikke en bivirkning, det var social engineering-udløseren.

Efter installationen sendte udvidelsen et unikt identifikationsnavn til en angriberkontrolleret server på nexsnield[.]com, hvilket muliggjorde sporing af ofre. Ondsindet aktivitet blev forsinket i 60 minutter efter installationen, hvorefter den blev gentaget hvert 10. minut.

Før DoS-rutinen startede, gemte udvidelsen et tidsstempel i det lokale lager. Når brugeren tvangsafslutte og genstartede browseren, kontrollerede en opstartshåndtering for denne værdi. Hvis den var til stede, dukkede CrashFix-pop-up'en op og slettede derefter tidsstemplet, hvilket skabte illusionen om, at advarslen var en konsekvens af nedbruddet snarere end dets årsag.

DoS-rutinen blev kun udført, når tre betingelser var opfyldt: offerets UUID eksisterede, kommando- og kontrolserveren reagerede korrekt, og pop op-vinduet var blevet åbnet og lukket mindst én gang. Denne logik tyder stærkt på, at operatørerne ønskede at bekræfte brugerinteraktion, før de aktiverede nyttelastløkken fuldt ud.

Resultatet var en selvopretholdende cyklus. Hver tvungen genstart efter en frysning udløste den falske advarsel igen. Hvis udvidelsen forblev installeret, genoptog nedbrudsadfærden efter ti minutter.

Forvirring, antianalyse og at leve af landet

Den falske pop op-vindue implementerede adskillige anti-analyse-foranstaltninger, deaktiverede højreklik-kontekstmenuer og blokerede tastaturgenveje, der typisk bruges til at få adgang til udviklerværktøjer.

CrashFix-kommandoen misbrugte det legitime Windows-værktøj finger.exe til at hente og udføre en sekundær nyttelast fra 199.217.98[.]108. KongTukes brug af Finger-værktøjet var tidligere blevet dokumenteret i december 2025.

Den downloadede nyttelast var en PowerShell-kommando, der hentede et ekstra script, som skjulte dets indhold gennem flere lag af Base64-kodning og XOR-operationer, hvilket afspejlede teknikker, der længe har været forbundet med SocGholish-kampagner.

Når scriptet var dekrypteret, scannede det aktive processer for mere end 50 kendte analyseværktøjer og indikatorer for virtuelle maskiner og afsluttede det øjeblikkeligt, hvis der blev fundet nogen. Det evaluerede også, om systemet var domæneforbundet eller en del af en separat arbejdsgruppe, og sendte derefter en HTTP POST-anmodning tilbage til den samme server, der indeholdt:

  • En liste over installerede antivirusprodukter
  • Et værtsklassifikationsflag: 'ABCD111' for enkeltstående systemer og 'BCDA222' for domæneforbundne maskiner

ModeloRAT: Skræddersyet til virksomhedsmiljøer

Hvis det inficerede system blev identificeret som domænetilsluttet, kulminerede infektionskæden i implementeringen af ModeloRAT, en Python-baseret Windows-trojansk hest til fjernadgang. Malwaren kommunikerer via RC4-krypterede kanaler med kommando- og kontrolservere på 170.168.103[.]208 eller 158.247.252[.]178.

ModeloRAT etablerer persistens gennem Windows-registreringsdatabasen og understøtter udførelsen af binære filer, DLL'er, Python-scripts og PowerShell-kommandoer. Det inkluderer også indbyggede livscykluskontroller, der giver operatører mulighed for at opdatere implantatet eksternt eller afslutte det ved hjælp af dedikerede kommandoer.

RAT implementerer en flerlags beaconing-strategi designet til at undgå adfærdsdetektion:

  • Under normale forhold udsender den et signal hvert 300. sekund.
  • Når serveren skifter til aktiv tilstand, foretager den aggressive polling med et konfigurerbart interval, som standard er 150 millisekunder.
  • Efter seks på hinanden følgende kommunikationsfejl går den tilbage til intervaller på 900 sekunder.
  • Efter en enkelt fejl forsøger den at genoprette forbindelsen efter 150 sekunder, før den vender tilbage til standardtiming.

Denne adaptive logik gør det muligt for ModeloRAT at integreres i netværkstrafikken, samtidig med at den understøtter hurtig operatørinteraktion, når det er nødvendigt.

En tosporet infektionsstrategi

Selvom implementeringen af ModeloRAT på domæneforbundne systemer tydeligt indikerer et fokus på virksomhedsmiljøer og dybere netværkspenetration, blev enkeltstående maskiner dirigeret gennem en anden flertrinssekvens. I disse tilfælde svarede kommando- og kontrolserveren i sidste ende med beskeden 'TEST PAYLOAD!!!!', hvilket antyder, at denne parallelle infektionssti muligvis stadig er under udvikling.

Det større billede: Social manipulation gennem design

KongTukes CrashFix-kampagne illustrerer, hvordan moderne trusselsaktører forfiner social engineering til et fuldt udviklet kontrolloop. Ved at udgive sig for at være et betroet open source-projekt, bevidst destabilisere browseren og derefter præsentere en forfalsket rettelse, forvandlede angriberne brugerfrustration til compliance.

Operationen demonstrerer, hvordan browserudvidelser, betroede markedspladser og værktøjer, der lever af jorden, kan smeltes sammen til en robust infektionskæde, en kæde, der ikke kun fortsætter gennem stealth, men ved gentagne gange at manipulere offeret til selv at udløse angrebet.

Trending

Mest sete

Indlæser...