क्रैशफिक्स क्रोम एक्सटेंशन

साइबर सुरक्षा शोधकर्ताओं ने कोंगटुक नामक एक सक्रिय अभियान का पर्दाफाश किया है, जो विज्ञापन अवरोधक के रूप में काम करने वाले एक दुर्भावनापूर्ण Google Chrome एक्सटेंशन का दुरुपयोग करता है। यह एक्सटेंशन जानबूझकर ब्राउज़र को क्रैश करने और क्लिकफिक्स शैली की सोशल इंजीनियरिंग के माध्यम से पीड़ितों को हमलावर द्वारा नियंत्रित कमांड निष्पादित करने के लिए प्रेरित करने के लिए बनाया गया है। इस तकनीक के नवीनतम संस्करण को क्रैशफिक्स नाम दिया गया है और यह अंततः मॉडलरैट नामक एक पहले से अज्ञात रिमोट एक्सेस ट्रोजन को वितरित करता है।

कोंगटुक, जिसे 404 टीडीएस, चाया_002, लैंडअपडेट808 और टैग-124 के रूप में भी ट्रैक किया जाता है, एक ट्रैफ़िक वितरण प्रणाली (टीडीएस) के रूप में काम करता है। यह पीड़ित वातावरणों का विश्लेषण करता है और चयनित लक्ष्यों को दुर्भावनापूर्ण पेलोड वितरण अवसंरचना की ओर पुनर्निर्देशित करता है। संक्रमित होस्ट तक पहुंच को फिर रैंसमवेयर ऑपरेटरों सहित अन्य हमलावरों को बेचा या स्थानांतरित किया जाता है, ताकि द्वितीयक चरण के हमलों को अंजाम दिया जा सके।

TAG-124 इंफ्रास्ट्रक्चर का इस्तेमाल करने वाले पहले से ही देखे गए खतरे वाले समूहों में Rhysida रैंसमवेयर, Interlock रैंसमवेयर और TA866 (Asylum Ambuscade) शामिल हैं। अप्रैल 2025 की एक रिपोर्ट के अनुसार, इस गतिविधि का संबंध SocGholish और D3F@ck Loader से भी जोड़ा गया है।

क्रोम वेब स्टोर से लेकर समझौते तक

दस्तावेजी रूप से दर्ज संक्रमण श्रृंखला में, पीड़ितों ने ऑनलाइन विज्ञापन अवरोधक की खोज की और उन्हें एक दुर्भावनापूर्ण विज्ञापन दिखाया गया जिसने उन्हें सीधे आधिकारिक क्रोम वेब स्टोर पर होस्ट किए गए ब्राउज़र एक्सटेंशन पर पुनर्निर्देशित कर दिया।

'नेक्सशील्ड – एडवांस्ड वेब गार्डियन' (आईडी: cpcdkmjddocikjdkbbeiaafnpdbdafmi) नामक एक्सटेंशन ने खुद को 'सर्वोत्तम गोपनीयता कवच' के रूप में प्रस्तुत किया और दावा किया कि यह विज्ञापनों, ट्रैकर्स, मैलवेयर और आपत्तिजनक वेब सामग्री को ब्लॉक कर सकता है। इसे हटाए जाने से पहले, इसके कम से कम 5,000 डाउनलोड हो चुके थे।

तकनीकी रूप से, यह एक्सटेंशन एक वैध विज्ञापन-अवरोधक एक्सटेंशन की लगभग हूबहू नकल थी। हालाँकि, परिचित इंटरफ़ेस के नीचे, इसे इस तरह से डिज़ाइन किया गया था कि यह एक मनगढ़ंत सुरक्षा चेतावनी प्रदर्शित करे जिसमें कहा गया हो कि ब्राउज़र 'असामान्य रूप से बंद हो गया है' और उपयोगकर्ताओं को एक नकली स्कैन शुरू करने के लिए प्रेरित करे जो कथित तौर पर माइक्रोसॉफ्ट एज से जुड़ा हुआ है।

विश्वास पैदा करने के लिए एक दुर्घटना को अंजाम देना

यदि उपयोगकर्ता ने स्कैन चलाने के लिए क्लिक किया, तो एक्सटेंशन ने विंडोज़ रन डायलॉग खोलने और क्लिपबोर्ड पर पहले से कॉपी किए गए कमांड को निष्पादित करने के निर्देश प्रदर्शित किए। ऐसा होते ही, एक्सटेंशन ने जानबूझकर एक डिनायल-ऑफ-सर्विस रूटीन शुरू किया, जिसने एक अनंत लूप के माध्यम से अंतहीन रनटाइम पोर्ट कनेक्शन बनाए और इस प्रक्रिया को एक अरब बार तक दोहराया।

संसाधनों की इस अत्यधिक खपत के कारण अत्यधिक मेमोरी का उपयोग हुआ, जिससे ब्राउज़र धीमा, अनुत्तरदायी हो गया और अंततः क्रैश हो गया। जानबूझकर उत्पन्न की गई अस्थिरता कोई आकस्मिक प्रभाव नहीं थी, बल्कि यह सोशल इंजीनियरिंग का ही परिणाम थी।

एक बार इंस्टॉल होने के बाद, एक्सटेंशन ने nexsnield[.]com पर हमलावर द्वारा नियंत्रित सर्वर को एक विशिष्ट पहचानकर्ता भेजा, जिससे पीड़ित की ट्रैकिंग संभव हो गई। दुर्भावनापूर्ण गतिविधि इंस्टॉलेशन के बाद 60 मिनट तक विलंबित रही, जिसके बाद यह हर 10 मिनट में पुनः सक्रिय हो गई।

DoS रूटीन शुरू करने से पहले, एक्सटेंशन ने लोकल स्टोरेज में एक टाइमस्टैम्प स्टोर किया। जब उपयोगकर्ता ने ब्राउज़र को ज़बरदस्ती बंद करके दोबारा शुरू किया, तो एक स्टार्टअप हैंडलर ने इस मान की जाँच की। यदि यह मान मौजूद था, तो क्रैशफिक्स पॉप-अप दिखाई दिया और फिर टाइमस्टैम्प को हटा दिया गया, जिससे यह भ्रम पैदा हुआ कि चेतावनी क्रैश का परिणाम थी न कि उसका कारण।

DoS रूटीन तभी निष्पादित किया गया जब तीन शर्तें पूरी हुईं: पीड़ित का UUID मौजूद था, कमांड-एंड-कंट्रोल सर्वर ने सफलतापूर्वक प्रतिक्रिया दी, और पॉप-अप कम से कम एक बार खोला और बंद किया गया था। यह तर्क स्पष्ट रूप से दर्शाता है कि ऑपरेटर पेलोड लूप को पूरी तरह से सक्रिय करने से पहले उपयोगकर्ता की परस्पर क्रिया की पुष्टि करना चाहते थे।

इसका नतीजा एक ऐसा चक्र बन गया जो अपने आप चलता रहता था। फ्रीज़ होने के बाद हर बार जबरन रीस्टार्ट करने पर नकली चेतावनी फिर से सक्रिय हो जाती थी। अगर एक्सटेंशन इंस्टॉल ही रहता, तो दस मिनट बाद क्रैश होने की समस्या फिर से शुरू हो जाती थी।

अस्पष्टता, विश्लेषण-विरोधी दृष्टिकोण और प्राकृतिक संसाधनों से जीवन यापन करना

नकली पॉप-अप ने विश्लेषण-विरोधी कई उपाय लागू किए, जिनमें राइट-क्लिक संदर्भ मेनू को निष्क्रिय करना और डेवलपर टूल तक पहुंचने के लिए आमतौर पर उपयोग किए जाने वाले कीबोर्ड शॉर्टकट को अवरुद्ध करना शामिल था।

CrashFix कमांड ने वैध विंडोज यूटिलिटी finger.exe का दुरुपयोग करके 199.217.98[.]108 से द्वितीयक चरण का पेलोड प्राप्त किया और उसे निष्पादित किया। KongTuke द्वारा Finger यूटिलिटी के उपयोग को पहले दिसंबर 2025 में प्रलेखित किया गया था।

डाउनलोड किया गया पेलोड एक पॉवरशेल कमांड था जिसने एक अतिरिक्त स्क्रिप्ट को फ़ेच किया, जिसने बेस64 एन्कोडिंग और एक्सओआर ऑपरेशंस की कई परतों के माध्यम से अपनी सामग्री को छिपाया, जो कि सोकघोलिश अभियानों से लंबे समय से जुड़ी तकनीकों की याद दिलाता है।

एक बार डिक्रिप्ट होने के बाद, स्क्रिप्ट ने 50 से अधिक ज्ञात विश्लेषण उपकरणों और वर्चुअल मशीन संकेतकों के लिए सक्रिय प्रक्रियाओं को स्कैन किया और यदि कोई भी पाया गया तो तुरंत समाप्त हो गई। इसने यह भी मूल्यांकन किया कि सिस्टम डोमेन से जुड़ा हुआ है या एक स्टैंडअलोन वर्कग्रुप का हिस्सा है, फिर उसी सर्वर पर एक HTTP POST अनुरोध भेजा जिसमें निम्नलिखित शामिल थे:

• स्थापित एंटीवायरस उत्पादों की सूची
• एक होस्ट वर्गीकरण ध्वज: स्टैंडअलोन सिस्टम के लिए 'ABCD111' और डोमेन से जुड़े मशीनों के लिए 'BCDA222'

ModeloRAT: कॉर्पोरेट वातावरण के लिए अनुकूलित

यदि संक्रमित सिस्टम को डोमेन-जॉइन के रूप में पहचाना गया, तो संक्रमण श्रृंखला का समापन ModeloRAT की तैनाती में हुआ, जो कि पायथन-आधारित विंडोज रिमोट एक्सेस ट्रोजन है। यह मैलवेयर RC4-एन्क्रिप्टेड चैनलों के माध्यम से 170.168.103[.]208 या 158.247.252[.]178 पर स्थित कमांड-एंड-कंट्रोल सर्वरों के साथ संचार करता है।

ModeloRAT विंडोज रजिस्ट्री के माध्यम से निरंतरता स्थापित करता है और बाइनरी, DLL, पायथन स्क्रिप्ट और पॉवरशेल कमांड के निष्पादन का समर्थन करता है। इसमें अंतर्निहित जीवनचक्र नियंत्रण भी शामिल हैं, जो ऑपरेटरों को समर्पित कमांड का उपयोग करके इम्प्लांट को दूरस्थ रूप से अपडेट करने या उसे समाप्त करने की अनुमति देते हैं।

RAT व्यवहारिक पहचान से बचने के लिए डिज़ाइन की गई बहु-स्तरीय बीकनिंग रणनीति को लागू करता है:

• सामान्य परिस्थितियों में, यह हर 300 सेकंड में एक संकेत भेजता है।
• जब सर्वर द्वारा इसे सक्रिय मोड में स्विच किया जाता है, तो यह एक कॉन्फ़िगर करने योग्य अंतराल पर आक्रामक रूप से पोलिंग करता है, जिसका डिफ़ॉल्ट मान 150 मिलीसेकंड है।
• लगातार छह संचार विफलताओं के बाद, यह 900 सेकंड के अंतराल पर संचार शुरू कर देता है।
• एक बार विफलता होने के बाद, यह मानक समय पर लौटने से पहले 150 सेकंड के बाद पुनः कनेक्ट होने का प्रयास करता है।

यह अनुकूली तर्क ModeloRAT को नेटवर्क ट्रैफिक में घुलमिल जाने की अनुमति देता है, साथ ही आवश्यकता पड़ने पर ऑपरेटर के साथ त्वरित बातचीत का समर्थन भी करता है।

संक्रमण से निपटने की दोहरी रणनीति

डोमेन से जुड़े सिस्टमों पर ModeloRAT की तैनाती कॉर्पोरेट वातावरण और नेटवर्क में अधिक से अधिक घुसपैठ पर केंद्रित होने का स्पष्ट संकेत देती है, जबकि स्टैंडअलोन मशीनों को एक अलग बहु-चरणीय प्रक्रिया से गुज़ारा गया। ऐसे मामलों में, कमांड-एंड-कंट्रोल सर्वर ने अंततः 'TEST PAYLOAD!!!!' संदेश के साथ प्रतिक्रिया दी, जिससे पता चलता है कि यह समानांतर संक्रमण मार्ग अभी भी विकास के चरण में हो सकता है।

व्यापक परिप्रेक्ष्य: योजनाबद्ध तरीके से की गई सोशल इंजीनियरिंग

कोंगटुक के क्रैशफिक्स अभियान से पता चलता है कि आधुनिक हमलावर किस प्रकार सोशल इंजीनियरिंग को एक सुनियोजित नियंत्रण तंत्र में परिवर्तित कर रहे हैं। एक विश्वसनीय ओपन-सोर्स प्रोजेक्ट का रूप धारण करके, जानबूझकर ब्राउज़र को अस्थिर करके और फिर एक नकली समाधान प्रस्तुत करके, हमलावरों ने उपयोगकर्ताओं की निराशा को अनुपालन में बदल दिया।

यह ऑपरेशन दर्शाता है कि कैसे ब्राउज़र एक्सटेंशन, विश्वसनीय बाज़ार और स्थानीय संसाधनों का उपयोग करने वाले उपकरण एक मजबूत संक्रमण श्रृंखला में एकीकृत हो सकते हैं, जो न केवल गुप्त रूप से काम करके बल्कि पीड़ित को बार-बार हेरफेर करके हमले को स्वयं शुरू करने के लिए मजबूर करके बनी रहती है।