CrashFix proširenje za Chrome
Istraživači kibernetičke sigurnosti otkrili su aktivnu kampanju nazvanu KongTuke koja zloupotrebljava zlonamjerno proširenje za Google Chrome koje se predstavlja kao blokator oglasa. Proširenje je osmišljeno kako bi namjerno rušilo preglednik i manipuliralo žrtvama da izvršavaju naredbe koje kontroliraju napadači putem društvenog inženjeringa u stilu ClickFixa. Ova najnovija evolucija tehnike kodnog je naziva CrashFix i u konačnici stvara prethodno nedokumentiranog trojanca za udaljeni pristup poznatog kao ModeloRAT.
KongTuke, također praćen kao 404 TDS, Chaya_002, LandUpdate808 i TAG-124, funkcionira kao sustav distribucije prometa (TDS). Profilira okruženja žrtava i preusmjerava odabrane mete na infrastrukturu za isporuku zlonamjernog sadržaja. Pristup zaraženim hostovima zatim se prodaje ili prenosi drugim akterima prijetnji, uključujući operatere ransomwarea, kako bi se omogućile kompromitacije sekundarne faze.
Među prijetnjama koje su prethodno uočene kako koriste TAG-124 infrastrukturu su Rhysida ransomware, Interlock ransomware i TA866 (Asylum Ambuscade). Aktivnost je također povezana sa SocGholishom i D3F@ck Loaderom, prema izvješću iz travnja 2025.
Sadržaj
Od Chrome web trgovine do kompromisa
U dokumentiranom lancu zaraze, žrtve su na internetu tražile blokator oglasa i prikazan im je zlonamjerni oglas koji ih je preusmjeravao na proširenje preglednika smješteno izravno na službenoj Chrome web trgovini.
Proširenje pod nazivom 'NexShield – Advanced Web Guardian' (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi) predstavljalo se kao 'ultimativni štit privatnosti' tvrdeći da blokira oglase, programe za praćenje, zlonamjerni softver i nametljivi web sadržaj. Prije uklanjanja, prikupilo je najmanje 5000 preuzimanja.
Tehnički, ekstenzija je bila gotovo identičan klon legitimne ekstenzije za blokiranje oglasa. Međutim, ispod poznatog sučelja, bila je dizajnirana za prikaz izmišljenog sigurnosnog upozorenja u kojem se navodi da je preglednik 'nenormalno zaustavljen' i potiče korisnike da pokrenu lažno skeniranje navodno povezano s Microsoft Edgeom.
Projektiranje sloma do povjerenja u proizvodnju
Ako bi korisnik kliknuo za pokretanje skeniranja, proširenje bi prikazalo upute za otvaranje dijaloga Pokreni sustava Windows i izvršavanje naredbe koja je već kopirana u međuspremnik. Čim bi se to dogodilo, proširenje bi namjerno pokrenulo rutinu za sprječavanje uskraćivanja usluge koja je stvarala beskonačne veze portova za vrijeme izvođenja kroz beskonačnu petlju, ponavljajući isti korak do milijardu puta.
Ovo iscrpljivanje resursa uzrokovalo je ekstremnu potrošnju memorije, usporavajući preglednik, nereagirajući i na kraju uzrokujući rušenje. Namjerna nestabilnost nije bila nuspojava, već okidač društvenog inženjeringa.
Nakon instalacije, ekstenzija je prenosila jedinstveni identifikator na poslužitelj kojim upravlja napadač na nexsnield[.]com, omogućujući praćenje žrtve. Zlonamjerna aktivnost je odgođena 60 minuta nakon instalacije, nakon čega se ponovno izvršavala svakih 10 minuta.
Prije pokretanja DoS rutine, ekstenzija je pohranila vremensku oznaku u lokalnu pohranu. Kada bi korisnik prisilno zatvorio i ponovno pokrenuo preglednik, program za pokretanje provjerio bi tu vrijednost. Ako je prisutna, pojavio bi se skočni prozor CrashFix, a zatim izbrisao vremensku oznaku, stvarajući iluziju da je upozorenje posljedica pada sustava, a ne njegov uzrok.
DoS rutina je izvršena samo kada su ispunjena tri uvjeta: postojao je UUID žrtve, poslužitelj za upravljanje i kontrolu uspješno je odgovorio i skočni prozor je bio otvoren i zatvoren barem jednom. Ova logika snažno sugerira da su operateri htjeli potvrditi interakciju korisnika prije potpunog aktiviranja petlje korisnog tereta.
Rezultat je bio samoodrživi ciklus. Svako prisilno ponovno pokretanje nakon zamrzavanja ponovno je aktiviralo lažno upozorenje. Ako je proširenje ostalo instalirano, ponašanje rušenja se nastavilo nakon deset minuta.
Zamagljivanje, antianaliza i život od zemlje
Lažni skočni prozor implementirao je nekoliko mjera protiv analize, onemogućavajući kontekstne izbornike desnim klikom i blokirajući prečace na tipkovnici koji se obično koriste za pristup alatima za razvojne programere.
Naredba CrashFix zloupotrijebila je legitimni Windows uslužni program finger.exe za preuzimanje i izvršavanje sekundarnog korisnog tereta s adrese 199.217.98[.]108. KongTukeovo korištenje uslužnog programa Finger prethodno je dokumentirano u prosincu 2025.
Preuzeti teret bila je PowerShell naredba koja je dohvatila dodatni skript, koji je prikrivao svoj sadržaj kroz više slojeva Base64 kodiranja i XOR operacija, odražavajući tehnike dugo povezane sa SocGholish kampanjama.
Nakon dešifriranja, skripta je skenirala aktivne procese za više od 50 poznatih alata za analizu i indikatora virtualnih strojeva te ih odmah prekinula ako su pronađeni. Također je procijenila je li sustav pridružen domeni ili je dio samostalne radne grupe, a zatim je istom poslužitelju poslala HTTP POST zahtjev koji sadrži:
- Popis instaliranih antivirusnih proizvoda
- Zastavica klasifikacije hosta: 'ABCD111' za samostalne sustave i 'BCDA222' za računala povezana s domenom
ModeloRAT: Prilagođeno korporativnim okruženjima
Ako je zaraženi sustav identificiran kao domenski povezan, lanac zaraze kulminirao je postavljanjem ModeloRAT-a, trojanca za udaljeni pristup Windowsima temeljenog na Pythonu. Zlonamjerni softver komunicira putem RC4-šifriranih kanala s poslužiteljima za naredbe i kontrolu na 170.168.103[.]208 ili 158.247.252[.]178.
ModeloRAT uspostavlja perzistentnost putem Windows registra i podržava izvršavanje binarnih datoteka, DLL-ova, Python skripti i PowerShell naredbi. Također uključuje ugrađene kontrole životnog ciklusa, omogućujući operaterima daljinsko ažuriranje implantata ili njegovo prekidanje pomoću namjenskih naredbi.
RAT implementira višeslojnu strategiju signalizacije osmišljenu kako bi izbjegao detekciju ponašanja:
- U normalnim uvjetima, signal se aktivira svakih 300 sekundi.
- Kada ga poslužitelj prebaci u aktivni način rada, agresivno provodi anketiranje u konfiguriranom intervalu, zadano 150 milisekundi.
- Nakon šest uzastopnih prekida komunikacije, vraća se na intervale od 900 sekundi.
- Nakon jednog kvara, pokušava se ponovno povezati nakon 150 sekundi prije povratka na standardno vrijeme.
Ova adaptivna logika omogućuje ModeloRAT-u da se uklopi u mrežni promet, a istovremeno podržava brzu interakciju operatera kada je to potrebno.
Dvostruka strategija infekcije
Iako implementacija ModeloRAT-a na sustavima povezanim s domenom snažno ukazuje na fokus na korporativna okruženja i dublju penetraciju mreže, samostalni strojevi su usmjeravani kroz drugačiji višefazni slijed. U tim slučajevima, poslužitelj za naredbe i kontrolu na kraju je odgovorio porukom 'TEST PAYLOAD!!!!', što sugerira da je ovaj paralelni put zaraze možda još uvijek u razvoju.
Šira slika: Socijalni inženjering po dizajnu
KongTukeova kampanja CrashFix ilustrira kako moderni akteri prijetnji usavršavaju društveni inženjering u potpuno konstruiranu kontrolnu petlju. Lažnim predstavljanjem pouzdanog projekta otvorenog koda, namjernom destabilizacijom preglednika, a zatim predstavljanjem krivotvorenog rješenja, napadači su frustraciju korisnika pretvorili u poštivanje propisa.
Operacija pokazuje kako se ekstenzije preglednika, pouzdana tržišta i alati za život od zemlje mogu spojiti u otporni lanac infekcije, onaj koji se ne održava samo prikrivenošću, već i ponovljenim manipuliranjem žrtve da sama pokrene napad.
