CrashFix Chrome-laajennus
Kyberturvallisuustutkijat ovat paljastaneet aktiivisen kampanjan nimeltä KongTuke, joka väärinkäyttää haitallista Google Chromen laajennusta, joka tekeytyy mainosten estäjäksi. Laajennus on suunniteltu kaatamaan selain tarkoituksella ja manipuloimaan uhreja suorittamaan hyökkääjän ohjaamia komentoja ClickFix-tyylisen sosiaalisen manipuloinnin avulla. Tämän tekniikan uusimman kehitysaskeleen koodi on CrashFix, ja se lopulta tuottaa aiemmin dokumentoimattoman etäkäyttötroijalaisen, joka tunnetaan nimellä ModeloRAT.
KongTuke, jota seurataan myös nimillä 404 TDS, Chaya_002, LandUpdate808 ja TAG-124, toimii liikenteenjakelujärjestelmänä (TDS). Se profiloi uhriympäristöjä ja ohjaa valitut kohteet haitalliseen hyötykuorman toimitusinfrastruktuuriin. Tartunnan saaneiden isäntäkoneiden käyttöoikeus myydään tai siirretään sitten muille uhkatoimijoille, mukaan lukien kiristysohjelmien ylläpitäjille, jotta voidaan mahdollistaa toissijaisen vaiheen tietomurrot.
Aiemmin TAG-124-infrastruktuuria hyödyntäviä uhkaryhmiä ovat havainneet Rhysida-kiristyshaittaohjelmat, Interlock-kiristyshaittaohjelmat ja TA866 (Asylum Ambuscade). Huhtikuun 2025 raportin mukaan toiminta on yhdistetty myös SocGholishiin ja D3F@ck Loaderiin.
Sisällysluettelo
Chrome Web Storesta kompromissiin
Dokumentoidussa tartuntaketjussa uhrit etsivät verkosta mainostenesto-ohjelmaa ja heille näytettiin haitallinen mainos, joka ohjasi heidät suoraan virallisessa Chrome Web Storessa sijaitsevaan selainlaajennukseen.
Laajennus nimeltä 'NexShield – Advanced Web Guardian' (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi) esitteli itseään "täydellisenä yksityisyyden suojana" ja väitti estävänsä mainokset, seurantaohjelmat, haittaohjelmat ja tunkeilevan verkkosisällön. Ennen poistamistaan sillä oli ainakin 5 000 latausta.
Teknisesti laajennus oli lähes identtinen klooni laillisesta mainostenestolaajennuksesta. Tutun käyttöliittymän alla se oli kuitenkin suunniteltu näyttämään tekaistu tietoturvavaroitus, joka ilmoitti selaimen "pysähtyneen epänormaalisti" ja kehotti käyttäjiä aloittamaan tekaistun skannauksen, jonka oletettiin liittyvän Microsoft Edgeen.
Romahduksen suunnittelu luottamuksen luomiseksi
Jos käyttäjä napsautti tarkistuksen suorittamista, laajennus näytti ohjeet Windowsin Suorita-valintaikkunan avaamiseksi ja leikepöydälle jo kopioidun komennon suorittamiseksi. Heti tämän tapahtuessa laajennus käynnisti tarkoituksella palvelunestohyökkäysrutiinin, joka loi loputtomia ajonaikaisia porttiyhteyksiä äärettömän silmukan kautta toistaen samaa vaihetta jopa miljardi kertaa.
Tämä resurssien loppuminen aiheutti äärimmäistä muistinkulutusta, mikä teki selaimesta hitaan, reagoimattoman ja lopulta kaatui. Tahallinen epävakaus ei ollut sivuvaikutus, vaan sosiaalisen manipuloinnin laukaisema tekijä.
Asennuksen jälkeen laajennus lähetti yksilöllisen tunnisteen hyökkääjän hallitsemalle palvelimelle osoitteessa nexsnield[.]com, mikä mahdollisti uhrien seurannan. Haittatoiminta viivästyi 60 minuuttia asennuksen jälkeen, minkä jälkeen se suoritettiin uudelleen 10 minuutin välein.
Ennen DoS-rutiinin käynnistämistä laajennus tallensi aikaleiman paikalliseen tallennustilaan. Kun käyttäjä pakotti sulkeutumisen ja käynnisti selaimen uudelleen, käynnistyksen käsittelijä tarkisti tämän arvon. Jos arvo oli näkyvissä, CrashFix-ponnahdusikkuna ilmestyi ja poisti aikaleiman, mikä loi illuusion siitä, että varoitus oli seurausta kaatumisesta eikä sen syystä.
DoS-rutiini suoritettiin vain, kun kolme ehtoa täyttyi: uhrin UUID oli olemassa, komento- ja ohjauspalvelin vastasi onnistuneesti ja ponnahdusikkuna oli avattu ja suljettu ainakin kerran. Tämä logiikka viittaa vahvasti siihen, että operaattorit halusivat varmistaa käyttäjän vuorovaikutuksen ennen hyötykuormasilmukan täydellistä aktivoimista.
Tuloksena oli itsestään jatkuva kierre. Jokainen pakotettu uudelleenkäynnistys jäätymisen jälkeen laukaisi väärennetyn varoituksen uudelleen. Jos laajennus pysyi asennettuna, kaatumistoiminta jatkui kymmenen minuutin kuluttua.
Hämärtäminen, analyysin vastaisuus ja maaseudun ulkopuolinen eläminen
Väärennetty ponnahdusikkuna toteutti useita analysoinnin estäviä toimenpiteitä, kuten hiiren kakkospainikkeella napsautettavien kontekstivalikoiden poistamisen käytöstä ja kehittäjätyökalujen käyttämiseen käytettyjen pikanäppäinten estämisen.
CrashFix-komento väärinkäytti laillista Windows-apuohjelmaa finger.exe hakeakseen ja suorittaakseen toissijaisen vaiheen hyötykuorman hakemistosta 199.217.98[.]108. KongTuken Finger-apuohjelman käyttö oli dokumentoitu aiemmin joulukuussa 2025.
Ladattu hyötykuorma oli PowerShell-komento, joka nouti lisäskriptin, jonka sisältö kätkettiin useilla Base64-koodauskerroksilla ja XOR-operaatioilla, mikä heijasteli SocGholish-kampanjoihin pitkään yhdistettyjä tekniikoita.
Salauksen purkamisen jälkeen komentosarja skannasi aktiivisia prosesseja yli 50 tunnetun analyysityökalun ja virtuaalikoneen ilmaisimen varalta ja lopetti toiminnan välittömästi, jos niitä löytyi. Se arvioi myös, oliko järjestelmä liitetty toimialueeseen vai osa itsenäistä työryhmää, ja lähetti sitten HTTP POST -pyynnön takaisin samalle palvelimelle, joka sisälsi:
- Luettelo asennetuista virustorjuntaohjelmista
- Isännän luokittelulippu: 'ABCD111' erillisille järjestelmille ja 'BCDA222' toimialueeseen liitetyille koneille
ModeloRAT: Räätälöity yritysympäristöihin
Jos tartunnan saanut järjestelmä tunnistettiin verkkotunnukseen liitetyksi, tartuntaketju huipentui ModeloRATin, Python-pohjaisen Windows-etäkäyttötroijalaisen, käyttöönottoon. Haittaohjelma kommunikoi RC4-salattujen kanavien kautta komento- ja ohjauspalvelimien kanssa osoitteissa 170.168.103[.]208 tai 158.247.252[.]178.
ModeloRAT varmistaa pysyvyyden Windowsin rekisterin kautta ja tukee binääritiedostojen, DLL-tiedostojen, Python-skriptien ja PowerShell-komentojen suorittamista. Se sisältää myös sisäänrakennetut elinkaaritoiminnot, joiden avulla käyttäjät voivat päivittää implantin tai lopettaa sen etänä erillisten komentojen avulla.
RAT toteuttaa monitasoisen majakkastrategian, joka on suunniteltu välttämään käyttäytymisen havaitsemista:
- Normaaliolosuhteissa se antaa merkkivalon 300 sekunnin välein.
- Kun palvelin kytkee sen aktiiviseen tilaan, se suorittaa kyselyn aggressiivisesti määritettävällä aikavälillä, jonka oletusarvo on 150 millisekuntia.
- Kuuden peräkkäisen tiedonsiirtokatkoksen jälkeen se hidastuu 900 sekunnin välein.
- Yhden vian jälkeen se yrittää uudelleenyhteyttä 150 sekunnin kuluttua ennen kuin palaa normaaliin ajoitukseen.
Tämä mukautuva logiikka mahdollistaa ModeloRATin sulautumisen verkkoliikenteeseen ja tukee silti nopeaa käyttäjän vuorovaikutusta tarvittaessa.
Kaksiosainen tartuntastrategia
Vaikka ModeloRATin käyttöönotto toimialueliitetyissä järjestelmissä viittaa vahvasti keskittymiseen yritysympäristöihin ja syvempään verkkoon tunkeutumiseen, itsenäiset koneet reititettiin erilaisen monivaiheisen sekvenssin läpi. Näissä tapauksissa komento- ja ohjauspalvelin vastasi lopulta viestillä 'TEST PAYLOAD!!!!', mikä viittaa siihen, että tämä rinnakkainen tartuntapolku saattaa olla vielä kehitteillä.
Suurempi kuva: Sosiaalinen manipulointi suunnittelun avulla
KongTuken CrashFix-kampanja havainnollistaa, kuinka nykyaikaiset uhkatoimijat jalostavat sosiaalista manipulointia täysin suunnitelluksi kontrollisilmukaksi. Hyökkääjät muuttivat käyttäjien turhautumisen sääntöjen noudattamiseksi tekeytymällä luotettavaksi avoimen lähdekoodin projektiksi, horjuttamalla selaimen toimintaa tarkoituksella ja esittämällä sitten väärennetyn korjauksen.
Operaatio osoittaa, kuinka selainlaajennukset, luotettavat markkinapaikat ja omavaraiset työkalut voidaan yhdistää kestäväksi tartuntaketjuksi, joka ei pysy yllä pelkästään piilossa pysymisen ansiosta, vaan manipuloimalla uhria toistuvasti laukaisemaan hyökkäyksen itse.
