Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Επέκταση CrashFix Chrome

Επέκταση CrashFix Chrome

Μέχρι το Mezo το Κακόβουλο λογισμικό, Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Ερευνητές κυβερνοασφάλειας αποκάλυψαν μια ενεργή καμπάνια, με την ονομασία KongTuke, η οποία καταχράται μια κακόβουλη επέκταση του Google Chrome που παρουσιάζεται ως πρόγραμμα αποκλεισμού διαφημίσεων. Η επέκταση έχει σχεδιαστεί για να καταρρέει σκόπιμα το πρόγραμμα περιήγησης και να χειραγωγεί τα θύματα ώστε να εκτελούν εντολές που ελέγχονται από εισβολείς μέσω κοινωνικής μηχανικής τύπου ClickFix. Αυτή η τελευταία εξέλιξη της τεχνικής έχει την κωδική ονομασία CrashFix και τελικά παράγει ένα προηγουμένως μη καταγεγραμμένο trojan απομακρυσμένης πρόσβασης, γνωστό ως ModeloRAT.

Το KongTuke, που παρακολουθείται επίσης ως 404 TDS, Chaya_002, LandUpdate808 και TAG-124, λειτουργεί ως σύστημα διανομής κίνησης (TDS). Καταγράφει τα περιβάλλοντα των θυμάτων και ανακατευθύνει επιλεγμένους στόχους σε κακόβουλη υποδομή παράδοσης ωφέλιμου φορτίου. Η πρόσβαση σε μολυσμένους κεντρικούς υπολογιστές πωλείται ή μεταφέρεται στη συνέχεια σε άλλους απειλητικούς παράγοντες, συμπεριλαμβανομένων των χειριστών ransomware, για να καταστεί δυνατή η παραβίαση δευτερογενούς σταδίου.

Οι ομάδες απειλών που παρατηρήθηκαν προηγουμένως να αξιοποιούν την υποδομή TAG-124 περιλαμβάνουν τα ransomware Rhysida, Interlock ransomware και TA866 (Asylum Ambuscade). Η δραστηριότητα έχει επίσης συνδεθεί με τα SocGholish και D3F@ck Loader, σύμφωνα με μια έκθεση του Απριλίου 2025.

Από το Chrome Web Store στην παραβίαση

Στην καταγεγραμμένη αλυσίδα μόλυνσης, τα θύματα αναζήτησαν στο διαδίκτυο ένα πρόγραμμα αποκλεισμού διαφημίσεων και τους εμφανίστηκε μια κακόβουλη διαφήμιση που τα ανακατεύθυνε σε μια επέκταση προγράμματος περιήγησης που φιλοξενείται απευθείας στο επίσημο Chrome Web Store.

Η επέκταση, με την ονομασία «NexShield – Advanced Web Guardian» (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi), παρουσιάστηκε ως η «απόλυτη ασπίδα απορρήτου» ισχυριζόμενη ότι μπλοκάρει διαφημίσεις, προγράμματα παρακολούθησης, κακόβουλο λογισμικό και παρεμβατικό περιεχόμενο ιστού. Πριν από την αφαίρεσή της, είχε συγκεντρώσει τουλάχιστον 5.000 λήψεις.

Τεχνικά, η επέκταση ήταν ένα σχεδόν πανομοιότυπο κλώνο μιας νόμιμης επέκτασης αποκλεισμού διαφημίσεων. Κάτω από το οικείο περιβάλλον εργασίας, ωστόσο, είχε σχεδιαστεί για να εμφανίζει μια κατασκευασμένη προειδοποίηση ασφαλείας που δηλώνει ότι το πρόγραμμα περιήγησης είχε «σταματήσει ασυνήθιστα» και ζητά από τους χρήστες να ξεκινήσουν μια ψεύτικη σάρωση που υποτίθεται ότι συνδέεται με τον Microsoft Edge.

Η Κατασκευή μιας Κατάρρευσης στην Κατασκευαστική Εμπιστοσύνη

Εάν ο χρήστης έκανε κλικ για να εκτελέσει τη σάρωση, η επέκταση εμφάνιζε οδηγίες για να ανοίξει το παράθυρο διαλόγου "Εκτέλεση" των Windows και να εκτελέσει μια εντολή που είχε ήδη αντιγραφεί στο πρόχειρο. Μόλις συνέβαινε αυτό, η επέκταση εκκινούσε σκόπιμα μια ρουτίνα άρνησης υπηρεσίας που δημιουργούσε ατελείωτες συνδέσεις θυρών κατά τον χρόνο εκτέλεσης μέσω ενός άπειρου βρόχου, επαναλαμβάνοντας το ίδιο βήμα έως και ένα δισεκατομμύριο φορές.

Αυτή η εξάντληση πόρων προκάλεσε ακραία κατανάλωση μνήμης, καθιστώντας το πρόγραμμα περιήγησης αργό, μη ανταποκρινόμενο και τελικά προκαλώντας διακοπή λειτουργίας. Η σκόπιμη αστάθεια δεν ήταν παρενέργεια, ήταν η αιτία της κοινωνικής μηχανικής.

Μόλις εγκατασταθεί, η επέκταση μετέδιδε ένα μοναδικό αναγνωριστικό σε έναν διακομιστή που ελέγχεται από τον εισβολέα στη διεύθυνση nexsnield[.]com, επιτρέποντας την παρακολούθηση του θύματος. Η κακόβουλη δραστηριότητα καθυστερούσε για 60 λεπτά μετά την εγκατάσταση, μετά τα οποία εκτελούνταν ξανά κάθε 10 λεπτά.

Πριν από την εκκίνηση της ρουτίνας DoS, η επέκταση αποθήκευε μια χρονική σήμανση στον τοπικό χώρο αποθήκευσης. Όταν ο χρήστης έκλεινε αναγκαστικά και επανεκκινούσε το πρόγραμμα περιήγησης, ένας χειριστής εκκίνησης έλεγχε για αυτήν την τιμή. Εάν υπήρχε, εμφανιζόταν το αναδυόμενο παράθυρο CrashFix και στη συνέχεια διέγραφε τη χρονική σήμανση, δημιουργώντας την ψευδαίσθηση ότι η προειδοποίηση ήταν συνέπεια της συντριβής και όχι η αιτία της.

Η ρουτίνα DoS εκτελέστηκε μόνο όταν πληρούνταν τρεις προϋποθέσεις: υπήρχε το UUID του θύματος, ο διακομιστής εντολών και ελέγχου ανταποκρίθηκε με επιτυχία και το αναδυόμενο παράθυρο είχε ανοιχτεί και κλείσει τουλάχιστον μία φορά. Αυτή η λογική υποδηλώνει έντονα ότι οι χειριστές ήθελαν να επιβεβαιώσουν την αλληλεπίδραση του χρήστη πριν ενεργοποιήσουν πλήρως τον βρόχο ωφέλιμου φορτίου.

Το αποτέλεσμα ήταν ένας αυτοσυντηρούμενος κύκλος. Κάθε αναγκαστική επανεκκίνηση μετά από ένα πάγωμα ενεργοποίησε ξανά την ψεύτικη προειδοποίηση. Εάν η επέκταση παρέμενε εγκατεστημένη, η συμπεριφορά σφάλματος συνεχιζόταν μετά από δέκα λεπτά.

Συσκότιση, Αντι-Ανάλυση και Ζωή εκτός Γης

Το ψεύτικο αναδυόμενο παράθυρο εφάρμοσε διάφορα μέτρα κατά της ανάλυσης, απενεργοποιώντας τα μενού περιβάλλοντος που εμφανίζονται με δεξί κλικ και μπλοκάροντας τις συντομεύσεις πληκτρολογίου που χρησιμοποιούνται συνήθως για την πρόσβαση σε εργαλεία προγραμματιστών.

Η εντολή CrashFix καταχράστηκε το νόμιμο βοηθητικό πρόγραμμα finger.exe των Windows για να ανακτήσει και να εκτελέσει ένα ωφέλιμο φορτίο δευτερεύοντος σταδίου από το 199.217.98[.]108. Η χρήση του βοηθητικού προγράμματος Finger από τον KongTuke είχε καταγραφεί προηγουμένως τον Δεκέμβριο του 2025.

Το ληφθέν ωφέλιμο φορτίο ήταν μια εντολή PowerShell που λάμβανε ένα επιπλέον σενάριο, το οποίο απέκρυπτε το περιεχόμενό του μέσω πολλαπλών επιπέδων κωδικοποίησης Base64 και λειτουργιών XOR, επαναλαμβάνοντας τεχνικές που σχετίζονταν εδώ και καιρό με τις καμπάνιες SocGholish.

Μόλις αποκρυπτογραφήθηκε, το σενάριο σάρωσε τις ενεργές διεργασίες για περισσότερα από 50 γνωστά εργαλεία ανάλυσης και δείκτες εικονικής μηχανής και τερματίστηκε αμέσως εάν βρεθούν. Αξιολόγησε επίσης εάν το σύστημα ήταν συνδεδεμένο σε τομέα ή μέρος μιας αυτόνομης ομάδας εργασίας και, στη συνέχεια, έστειλε ένα αίτημα HTTP POST πίσω στον ίδιο διακομιστή που περιείχε:

  • Μια λίστα με εγκατεστημένα προϊόντα προστασίας από ιούς
  • Μια σημαία ταξινόμησης κεντρικού υπολογιστή: 'ABCD111' για αυτόνομα συστήματα και 'BCDA222' για μηχανήματα που συνδέονται με τομέα

ModeloRAT: Προσαρμοσμένο για Εταιρικά Περιβάλλοντα

Εάν το μολυσμένο σύστημα αναγνωριστεί ως συνδεδεμένο σε τομέα, η αλυσίδα μόλυνσης κορυφώθηκε με την ανάπτυξη του ModeloRAT, ενός trojan απομακρυσμένης πρόσβασης των Windows που βασίζεται σε Python. Το κακόβουλο λογισμικό επικοινωνεί μέσω κρυπτογραφημένων καναλιών RC4 με διακομιστές εντολών και ελέγχου στις διευθύνσεις 170.168.103[.]208 ή 158.247.252[.]178.

Το ModeloRAT εγκαθιστά persistence μέσω του μητρώου των Windows και υποστηρίζει την εκτέλεση δυαδικών αρχείων, DLL, σεναρίων Python και εντολών PowerShell. Περιλαμβάνει επίσης ενσωματωμένα στοιχεία ελέγχου κύκλου ζωής, επιτρέποντας στους χειριστές να ενημερώνουν εξ αποστάσεως το εμφύτευμα ή να το τερματίζουν χρησιμοποιώντας ειδικές εντολές.

Το RAT εφαρμόζει μια στρατηγική beaconing πολλαπλών επιπέδων σχεδιασμένη να αποφεύγει την ανίχνευση συμπεριφοράς:

  • Υπό κανονικές συνθήκες, εκπέμπει σήμα κάθε 300 δευτερόλεπτα.
  • Όταν ο διακομιστής θέσει σε ενεργή λειτουργία, πραγματοποιεί επιθετική σταθμοσκόπηση σε ένα διαμορφώσιμο διάστημα, με προεπιλογή τα 150 χιλιοστά του δευτερολέπτου.
  • Μετά από έξι συνεχόμενες αποτυχίες επικοινωνίας, υποχωρεί σε διαστήματα 900 δευτερολέπτων.
  • Μετά από μία μόνο βλάβη, επιχειρεί επανασύνδεση μετά από 150 δευτερόλεπτα πριν επιστρέψει στον κανονικό χρονισμό.

Αυτή η προσαρμοστική λογική επιτρέπει στο ModeloRAT να ενσωματώνεται στην κίνηση δικτύου, ενώ παράλληλα υποστηρίζει την ταχεία αλληλεπίδραση των χειριστών όταν απαιτείται.

Μια στρατηγική δύο τρόπων για την αντιμετώπιση των λοιμώξεων

Ενώ η ανάπτυξη του ModeloRAT σε συστήματα που συνδέονται με τομείς υποδηλώνει έντονα την εστίαση σε εταιρικά περιβάλλοντα και τη βαθύτερη διείσδυση δικτύου, οι αυτόνομοι υπολογιστές δρομολογήθηκαν μέσω μιας διαφορετικής ακολουθίας πολλαπλών σταδίων. Σε αυτές τις περιπτώσεις, ο διακομιστής εντολών και ελέγχου τελικά απάντησε με το μήνυμα 'TEST PAYLOAD!!!!', υποδηλώνοντας ότι αυτή η παράλληλη διαδρομή μόλυνσης ενδέχεται να βρίσκεται ακόμη υπό ανάπτυξη.

Η ευρύτερη εικόνα: Κοινωνική μηχανική μέσω σχεδιασμού

Η καμπάνια CrashFix του KongTuke δείχνει πώς οι σύγχρονοι απειλητικοί παράγοντες βελτιώνουν την κοινωνική μηχανική σε έναν πλήρως μηχανικό βρόχο ελέγχου. Υποδυόμενοι ένα αξιόπιστο έργο ανοιχτού κώδικα, αποσταθεροποιώντας σκόπιμα το πρόγραμμα περιήγησης και στη συνέχεια παρουσιάζοντας μια πλαστή λύση, οι εισβολείς μετέτρεψαν την απογοήτευση των χρηστών σε συμμόρφωση.

Η επιχείρηση καταδεικνύει πώς οι επεκτάσεις του προγράμματος περιήγησης, οι αξιόπιστες αγορές και τα εργαλεία που παράγονται από το εξωτερικό μπορούν να συγχωνευθούν σε μια ανθεκτική αλυσίδα μόλυνσης, η οποία επιμένει όχι μόνο μέσω της μυστικότητας, αλλά και μέσω της επανειλημμένης χειραγώγησης του θύματος ώστε να ενεργοποιήσει το ίδιο την επίθεση.

Τάσεις

Απάτη μέσω email με υποκλοπή μεταφοράς χρημάτων

Phishing, Ανεπιθύμητη αλληλογραφία
Η επαγρύπνηση κατά την αντιμετώπιση ανεπιθύμητων ή απροσδόκητων email είναι απαραίτητη. Οι κυβερνοεγκληματίες συχνά εκμεταλλεύονται την έκπληξη, την επείγουσα ανάγκη και την περιέργεια για να χειραγωγήσουν τους παραλήπτες ώστε να λάβουν βιαστικές αποφάσεις. Τα μηνύματα που υπόσχονται μεγάλα χρηματικά ποσά ή ισχυρίζονται ότι περιλαμβάνουν «υποκλαπείσες μεταφορές» είναι ιδιαίτερα επικίνδυνα και...

Securesearchtech.net

Απατεώνες Ιστότοποι, Browser Hijackers, Πιθανώς ανεπιθύμητα προγράμματα
Η προστασία των υπολογιστών και των κινητών συσκευών από ενοχλητικά και αναξιόπιστα PUP (Δυνητικά Ανεπιθύμητα Προγράμματα) είναι απαραίτητη για την ψηφιακή ασφάλεια. Αυτές οι εφαρμογές συχνά...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
28,759
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...