תוסף CrashFix לכרום
חוקרי אבטחת סייבר חשפו קמפיין פעיל, המכונה KongTuke, שמנצל לרעה תוסף זדוני של גוגל כרום ומתחזה לחוסם פרסומות. התוסף תוכנן כדי להרוס במכוון את הדפדפן ולתמרן קורבנות לבצע פקודות הנשלטות על ידי תוקפים באמצעות הנדסה חברתית בסגנון ClickFix. התפתחות זו של הטכניקה זכתה לשם הקוד CrashFix ובסופו של דבר מספקת טרויאן גישה מרחוק שלא תועד בעבר המכונה ModeloRAT.
KongTuke, המזוהה גם כ-404 TDS, Chaya_002, LandUpdate808 ו-TAG-124, פועלת כמערכת הפצת תעבורה (TDS). היא מבצעת פרופילים של סביבות קורבנות ומנתבת מטרות נבחרות לתשתית אספקת מטען זדונית. הגישה למארחים נגועים נמכרת או מועברת לאחר מכן לגורמי איום אחרים, כולל מפעילי תוכנות כופר, כדי לאפשר פריצות בשלב משני.
קבוצות איום שנצפו בעבר תוך ניצול תשתית TAG-124 כוללות את תוכנות הכופר Rhysida, תוכנות הכופר Interlock ו-TA866 (Asylum Ambuscade). הפעילות נקשרה גם ל-SocGholish ול-D3F@ck Loader, על פי דיווח מאפריל 2025.
תוכן העניינים
מחנות האינטרנט של כרום לפשרה
בשרשרת ההדבקה המתועדת, הקורבנות חיפשו באינטרנט חוסם פרסומות וקיבלו פרסומת זדונית שהפנתה אותם לתוסף דפדפן המתארח ישירות בחנות האינטרנט הרשמית של Chrome.
התוסף, ששמו 'NexShield – Advanced Web Guardian' (מזהה: cpcdkmjddocijdkbbeiaafnpdbdafmi), הציג את עצמו כ'מגן פרטיות אולטימטיבי' בטענה לחסימת פרסומות, תוכנות מעקב, תוכנות זדוניות ותוכן אינטרנט פולשני. לפני הסרתו, הוא צבר לפחות 5,000 הורדות.
מבחינה טכנית, התוסף היה כמעט זהה לחלוטין לתוסף לגיטימי לחסימת פרסומות. עם זאת, מתחת לממשק המוכר, הוא תוכנן להציג אזהרת אבטחה מפוברקת המציינת שהדפדפן "נעצר בצורה חריגה" ומבקש ממשתמשים להתחיל סריקה מזויפת שלכאורה קשורה ל-Microsoft Edge.
הנדסת קריסה כדי לייצר אמון
אם המשתמש לחץ כדי להפעיל את הסריקה, ההרחבה הציגה הוראות לפתוח את תיבת הדו-שיח הפעלה של Windows ולבצע פקודה שכבר הועתקה ללוח. ברגע שזה קרה, ההרחבה הפעילה במכוון שגרת מניעת שירות שיצרה חיבורי פורט בזמן ריצה אינסופיים דרך לולאה אינסופית, וחזרה על אותו שלב עד מיליארד פעמים.
תשישות משאבים זו גרמה לצריכת זיכרון קיצונית, מה שגרם לדפדפן להאט, לא להגיב ובסופו של דבר לאילץ אותו לקריסה. חוסר היציבות המכוונת לא היה תופעת לוואי, אלא הגורם להנדסה חברתית.
לאחר ההתקנה, התוסף שידר מזהה ייחודי לשרת הנשלט על ידי תוקף בכתובת nexsnield[.]com, מה שאפשר מעקב אחר הקורבנות. פעילות זדונית עוכבה למשך 60 דקות לאחר ההתקנה, ולאחר מכן היא בוצעה מחדש כל 10 דקות.
לפני הפעלת שגרת ה-DoS, ההרחבה שמרה חותמת זמן באחסון המקומי. כאשר המשתמש נסגר בכפייה והפעיל מחדש את הדפדפן, מטפל אתחול בדק את הערך הזה. אם היה קיים, החלון הקופץ CrashFix הופיע ולאחר מכן מחק את חותמת הזמן, ויצרה את האשליה שהאזהרה הייתה תוצאה של הקריסה ולא הגורם לה.
שגרת ה-DoS בוצעה רק כאשר שלושה תנאים התקיימו: ה-UUID של הקורבן היה קיים, שרת הפיקוד והבקרה הגיב בהצלחה, והחלון הקופץ נפתח ונסגר לפחות פעם אחת. היגיון זה מצביע מאוד על כך שהמפעילים רצו לאשר את האינטראקציה של המשתמש לפני הפעלת לולאת המטען במלואה.
התוצאה הייתה מחזור מתמשך. כל הפעלה מחדש כפויה לאחר הקפאה הפעילה מחדש את האזהרה המזויפת. אם ההרחבה נשארה מותקנת, התנהגות הקריסה חודשה לאחר עשר דקות.
ערפול, אנטי-אנליזה וחיים מחוץ לאדמה
החלון הקופץ המזויף יישם מספר אמצעים נגד ניתוח נתונים, תוך השבתת תפריטי ההקשר של לחיצה ימנית וחסימת קיצורי מקלדת המשמשים בדרך כלל לגישה לכלי מפתחים.
פקודת CrashFix ניצלה לרעה את כלי השירות הלגיטימי של Windows, finger.exe, כדי לאחזר ולהפעיל מטען בשלב משני מקובץ 199.217.98[.]108. השימוש של KongTuke בכלי השירות Finger תועד בעבר בדצמבר 2025.
המטען שהורד היה פקודת PowerShell שהביאה סקריפט נוסף, שהסתיר את תוכנו באמצעות שכבות מרובות של קידוד Base64 ופעולות XOR, תוך הדהוד טכניקות המקושרות זה מכבר לקמפיינים של SocGholish.
לאחר הפענוח, הסקריפט סרק תהליכים פעילים עבור יותר מ-50 כלי ניתוח ידועים ומדדי מכונה וירטואלית ונסגר מיד אם נמצאו כאלה. הוא גם העריך האם המערכת הייתה מחוברת לתחום או חלק מקבוצת עבודה עצמאית, ולאחר מכן שלח בקשת HTTP POST בחזרה לאותו שרת המכילה:
- רשימה של מוצרי אנטי-וירוס מותקנים
- דגל סיווג מארח: 'ABCD111' עבור מערכות עצמאיות ו-'BCDA222' עבור מכונות המחוברות לתחום
ModeloRAT: מותאם לסביבות ארגוניות
אם המערכת הנגועה זוהתה כמערכת המחוברת לתחום, שרשרת ההדבקה הגיעה לשיאה בפריסת ModeloRAT, סוס טרויאני לגישה מרחוק מבוסס פייתון עבור Windows. הנוזקה מתקשרת דרך ערוצים מוצפנים ב-RC4 עם שרתי פיקוד ובקרה בכתובות 170.168.103[.]208 או 158.247.252[.]178.
ModeloRAT יוצר שמירה על תפקוד באמצעות הרישום של Windows ותומך בביצוע של קבצים בינאריים, קבצי DLL, סקריפטים של Python ופקודות PowerShell. הוא כולל גם בקרות מחזור חיים מובנות, המאפשרות למפעילים לעדכן מרחוק את השתל או לסיים אותו באמצעות פקודות ייעודיות.
ה-RAT מיישם אסטרטגיית איתות רב-שכבתית שנועדה להתחמק מגילוי התנהגותי:
- בתנאים רגילים, הוא מפעיל איתות כל 300 שניות.
- כאשר השרת מעביר אותו למצב פעיל, הוא מבצע סקרים אגרסיביים במרווח זמן הניתן להגדרה, כאשר ברירת המחדל היא 150 מילישניות.
- לאחר שישה כשלים רצופים בתקשורת, הוא נסוג למרווחים של 900 שניות.
- לאחר כשל בודד, הוא מנסה להתחבר מחדש לאחר 150 שניות לפני שהוא חוזר לתזמון הסטנדרטי.
לוגיקה אדפטיבית זו מאפשרת ל-ModeloRAT להשתלב בתעבורת הרשת ועדיין לתמוך באינטראקציה מהירה של המפעיל בעת הצורך.
אסטרטגיית הדבקה דו-כיוונית
בעוד שפריסת ModeloRAT במערכות המחוברות לתחום מעידה באופן חזק על התמקדות בסביבות ארגוניות וחדירה עמוקה יותר לרשת, מכונות עצמאיות נותבו דרך רצף רב-שלבי שונה. במקרים אלה, שרת הפיקוד והבקרה הגיב בסופו של דבר עם ההודעה 'בדיקת מטען!!!!', דבר המצביע על כך שנתיב ההדבקה המקביל הזה עשוי עדיין להיות בפיתוח.
התמונה הגדולה יותר: הנדסה חברתית באמצעות עיצוב
קמפיין CrashFix של KongTuke ממחיש כיצד גורמי איום מודרניים משכללים הנדסה חברתית ללולאת בקרה מהונדסת במלואה. על ידי התחזות לפרויקט קוד פתוח אמין, ערעור יציבות מכוון של הדפדפן, ולאחר מכן הצגת תיקון מזויף, התוקפים הפכו את תסכול המשתמש לתאימות.
המבצע מדגים כיצד ניתן למזג הרחבות דפדפן, זירות מסחר מהימנות וכלים החיים מהשטח לשרשרת הדבקה עמידה, כזו שנמשכת לא באמצעות התגנבות בלבד, אלא על ידי מניפולציה חוזרת ונשנית של הקורבן כדי שיפעיל בעצמו את ההתקפה.
