Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara CrashFixi Chrome'i laiendus

CrashFixi Chrome'i laiendus

Aastaks Mezo aastal Pahavara, Täiustatud püsiv oht (APT)
Tõlgi:

Küberturvalisuse uurijad on paljastanud aktiivse kampaania nimega KongTuke, mis kuritarvitab pahatahtlikku Google Chrome'i laiendust, mis teeskleb reklaamiblokeerijat. Laiendus on loodud brauseri tahtlikult krahhi tekitama ja ohvreid manipuleerima ründaja juhitud käskude täitmiseks ClickFixi-stiilis sotsiaalse manipuleerimise abil. Selle tehnika uusim areng on koodnimega CrashFix ja lõppkokkuvõttes edastab see varem dokumenteerimata kaugjuurdepääsu trooja, mida tuntakse kui ModeloRAT.

KongTuke, mida jälgitakse ka kui 404 TDS, Chaya_002, LandUpdate808 ja TAG-124, toimib liikluse jaotussüsteemina (TDS). See profileerib ohvrite keskkondi ja suunab valitud sihtmärgid pahatahtlikule kasuliku koormuse edastamise infrastruktuurile. Juurdepääs nakatunud hostidele müüakse või antakse seejärel teistele ohutegijatele, sealhulgas lunavara operaatoritele, et võimaldada teisejärgulisi kompromiteeringuid.

Varem on TAG-124 infrastruktuuri ärakasutavate ohurühmituste hulka kuulunud Rhysida lunavara, Interlocki lunavara ja TA866 (Asylum Ambuscade). 2025. aasta aprilli aruande kohaselt on tegevust seostatud ka SocGholish ja D3F@ck Loaderiga.

Chrome’i veebipoest kompromissini

Dokumenteeritud nakkusahelas otsisid ohvrid veebist reklaamiblokeerijat ja neile kuvati pahatahtlik reklaam, mis suunas nad otse ametlikus Chrome'i veebipoes majutatud brauserilaiendusele.

Laiendus nimega „NexShield – Advanced Web Guardian” (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi) esitles end kui „ülimat privaatsuskilpi”, mis väitis, et blokeerib reklaame, jälgijaid, pahavara ja pealetükkivat veebisisu. Enne eemaldamist kogunes sellel vähemalt 5000 allalaadimist.

Tehniliselt oli laiendus peaaegu identne kloon legitiimsest reklaamiblokeerija laiendusest. Tuttava liidese all oli see aga loodud kuvama väljamõeldud turvahoiatust, mis teatas, et brauser on „ebanormaalselt peatunud“, ja ajendas kasutajaid algatama võltsitud skannimise, mis on väidetavalt seotud Microsoft Edge'iga.

Usalduse tootmiseks krahhi kavandamine

Kui kasutaja klõpsas skannimise käivitamiseks, kuvas laiendus juhised Windowsi käivitusdialoogi avamiseks ja lõikelauale kopeeritud käsu käivitamiseks. Niipea kui see juhtus, käivitas laiendus tahtlikult teenuse keelamise rutiini, mis lõi lõputu tsükli kaudu lõputuid käitusaja pordiühendusi, korrates sama sammu kuni miljard korda.

See ressursi ammendumine põhjustas äärmuslikku mälukasutust, muutes brauseri aeglaseks, reageerimatuks ja lõpuks sundides selle krahhi. Tahtlik ebastabiilsus ei olnud kõrvalmõju, vaid sotsiaalse manipuleerimise päästik.

Pärast installimist edastas laiendus ründaja kontrollitavale serverile aadressil nexsnield[.]com unikaalse identifikaatori, mis võimaldas ohvrite jälgimist. Pahatahtlik tegevus viibis pärast installimist 60 minutit, mille järel see uuesti käivitus iga 10 minuti järel.

Enne DoS-rutiini käivitamist salvestas laiendus kohalikku salvestusruumi ajatempli. Kui kasutaja brauseri sundsulges ja taaskäivitas, kontrollis käivitusprogramm seda väärtust. Kui see oli olemas, ilmus CrashFixi hüpikaken ja kustutas seejärel ajatempli, luues illusiooni, et hoiatus oli krahhi tagajärg, mitte põhjus.

DoS-rutiini käivitati ainult siis, kui oli täidetud kolm tingimust: ohvri UUID oli olemas, käsklusserver vastas edukalt ning hüpikaken oli vähemalt korra avatud ja suletud. See loogika viitab tugevalt sellele, et operaatorid tahtsid enne kasuliku koormuse tsükli täielikku aktiveerimist kinnitada kasutaja interaktsiooni.

Tulemuseks oli iseenesest püsiv tsükkel. Iga sunnitud taaskäivitamine pärast hangumist käivitas valehoiatuse uuesti. Kui laiendus jäi installituks, jätkus krahhi käitumine kümne minuti pärast.

Varjamine, analüüsivastasus ja omakasupüüdmatus

Võltshüpikaken rakendas mitmeid analüüsivastaseid meetmeid, keelates paremklõpsu kontekstimenüüd ja blokeerides tavaliselt arendajatööriistadele juurdepääsuks kasutatavad kiirklahvid.

CrashFixi käsk kuritarvitas legitiimset Windowsi utiliiti finger.exe, et hankida ja käivitada teisese etapi kasulik fail aadressilt 199.217.98[.]108. KongTuke'i Fingeri utiliidi kasutamine oli varem dokumenteeritud 2025. aasta detsembris.

Allalaaditud kasulik koormus oli PowerShelli käsk, mis tõi alla täiendava skripti, mille sisu varjati mitme Base64 kodeeringu ja XOR-operatsioonide kihi abil, kajastades tehnikaid, mida on pikka aega seostatud SocGholishi kampaaniatega.

Pärast dekrüpteerimist skannis skript aktiivseid protsesse enam kui 50 teadaoleva analüüsitööriista ja virtuaalmasina indikaatori suhtes ning lõpetas kohe, kui neid leiti. Samuti hindas see, kas süsteem oli domeeniga ühendatud või osa eraldiseisvast töörühmast, ning saatis seejärel samale serverile HTTP POST-päringu, mis sisaldas:

  • Installitud viirusetõrjeprogrammide loend
  • Hosti klassifikatsiooni lipp: „ABCD111” eraldiseisvate süsteemide ja „BCDA222” domeeniga ühendatud masinate jaoks

ModeloRAT: Kohandatud ettevõtte keskkondadele

Kui nakatunud süsteem tuvastati domeeniga liitununa, kulmineerus nakkusahel ModeloRATi, Pythoni-põhise Windowsi kaugjuurdepääsu troojalase, juurutamisega. Pahavara suhtleb RC4-krüptitud kanalite kaudu käsklus- ja kontrollserveritega numbritel 170.168.103[.]208 või 158.247.252[.]178.

ModeloRAT loob püsivuse Windowsi registri kaudu ning toetab binaarfailide, DLL-ide, Pythoni skriptide ja PowerShelli käskude käivitamist. See sisaldab ka sisseehitatud elutsükli juhtelemente, mis võimaldavad operaatoritel implantaati eemalt värskendada või spetsiaalsete käskude abil lõpetada.

RAT rakendab mitmetasandilist signaalimisstrateegiat, mis on loodud käitumise tuvastamise vältimiseks:

  • Tavalistes tingimustes annab see signaali iga 300 sekundi järel.
  • Kui server lülitab selle aktiivsesse režiimi, küsitleb see agressiivselt konfigureeritava intervalliga, mille vaikeväärtus on 150 millisekundit.
  • Pärast kuut järjestikust sidekatkestust lülitub see 900-sekundilisele intervallile.
  • Pärast ühte tõrget proovib see 150 sekundi pärast uuesti ühendust luua, enne kui naaseb standardse ajastuse juurde.

See adaptiivne loogika võimaldab ModeloRATil sulanduda võrguliiklusega, toetades samal ajal vajadusel kiiret operaatori interaktsiooni.

Kahesuunaline nakkusstrateegia

Kuigi ModeloRATi juurutamine domeeniga ühendatud süsteemidesse viitab selgelt keskendumisele ettevõttekeskkondadele ja sügavamale võrgule tungimisele, suunati eraldiseisvad masinad läbi teistsuguse mitmeastmelise järjestuse. Sellistel juhtudel vastas käsklusserver lõpuks teatega „TEST PAYLOAD!!!!”, mis viitab sellele, et see paralleelne nakatumistee võib olla veel väljatöötamisel.

Suurem pilt: sotsiaalne manipuleerimine disaini abil

KongTuke'i CrashFixi kampaania illustreerib, kuidas tänapäevased ohutegijad täiustavad sotsiaalset manipuleerimist täielikult konstrueeritud kontrollahelaks. Usaldusväärse avatud lähtekoodiga projekti jäljendamise, brauseri tahtliku destabiliseerimise ja seejärel võltsitud lahenduse esitamisega muutsid ründajad kasutajate frustratsiooni vastavusnõueteks.

See operatsioon demonstreerib, kuidas brauserilaiendusi, usaldusväärseid turuplatse ja koduväliseid tööriistu saab ühendada vastupidavaks nakkusahelaks, mis püsib mitte ainult salaja, vaid ka ohvri korduva manipuleerimise abil, et ta ise rünnaku käivitaks.

Trendikas

Enim vaadatud

Laadimine...