CrashFix Chrome-bővítmény

Kiberbiztonsági kutatók lelepleztek egy KongTuke névre keresztelt aktív kampányt, amely egy rosszindulatú Google Chrome-bővítményt használ, amely hirdetésblokkolónak adja ki magát. A bővítményt úgy tervezték, hogy szándékosan összeomolja a böngészőt, és manipulálja az áldozatokat, hogy támadó által vezérelt parancsokat hajtsanak végre ClickFix-stílusú társadalmi manipulációval. A technika legújabb fejleménye a CrashFix kódnevet kapta, és végül egy korábban nem dokumentált távoli hozzáférésű trójai vírust, ModeloRAT-ot juttat el.

A KongTuke, amelyet 404 TDS, Chaya_002, LandUpdate808 és TAG-124 néven is nyomon követnek, forgalomelosztó rendszerként (TDS) működik. Profilt készít az áldozati környezetekről, és a kiválasztott célpontokat rosszindulatú hasznos adatot kézbesítő infrastruktúrára irányítja át. A fertőzött gazdagépekhez való hozzáférést ezután más fenyegetéseket okozó szereplőknek, köztük zsarolóvírus-üzemeltetőknek adják el vagy adják át, hogy lehetővé tegyék a másodlagos szintű kompromittálásokat.

A TAG-124 infrastruktúra kihasználásáról korábban megfigyelt fenyegető csoportok közé tartozik a Rhysida zsarolóvírus, az Interlock zsarolóvírus és a TA866 (Asylum Ambuscade). Egy 2025. áprilisi jelentés szerint a tevékenységet a SocGholish-hoz és a D3F@ck Loaderhez is összefüggésbe hozták.

A Chrome Webáruháztól a kompromisszumig

A dokumentált fertőzési láncban az áldozatok online kerestek hirdetésblokkolót, és egy rosszindulatú hirdetést kaptak, amely átirányította őket egy, a hivatalos Chrome Webáruházon található böngészőbővítményre.

A „NexShield – Advanced Web Guardian” (azonosító: cpcdkmjddocikjdkbbeiaafnpdbdafmi) nevű bővítmény „végső adatvédelmi pajzsként” mutatkozott be, azt állítva, hogy blokkolja a hirdetéseket, a nyomkövetőket, a rosszindulatú programokat és a tolakodó webes tartalmakat. Eltávolítása előtt legalább 5000 letöltést halmozott fel.

Technikailag a bővítmény egy legitim hirdetésblokkoló bővítmény szinte teljesen azonos klónja volt. Az ismerős felület alatt azonban egy kitalált biztonsági figyelmeztetést jelenített meg, amely kijelentette, hogy a böngésző „rendellenesen leállt”, és arra kérte a felhasználókat, hogy indítsanak egy hamis vizsgálatot, amely állítólag a Microsoft Edge-hez kapcsolódik.

Összeomlás tervezése a bizalomépítés érdekében

Ha a felhasználó a vizsgálat futtatásához kattintott, a bővítmény utasításokat jelenített meg a Windows Futtatás párbeszédpanel megnyitásához és a vágólapra másolt parancs végrehajtásához. Amint ez megtörtént, a bővítmény szándékosan elindított egy szolgáltatásmegtagadási rutint, amely végtelen cikluson keresztül végtelen számú futásidejű portkapcsolatot hozott létre, ugyanazt a lépést akár egymilliárdszor is megismételve.

Ez az erőforrás-kimerülés extrém memóriafogyasztást okozott, ami lelassította, lefagyottá és végül összeomlást okozott a böngészőben. A szándékos instabilitás nem mellékhatás volt, hanem a szociális manipuláció kiváltó oka.

A telepítés után a bővítmény egy egyedi azonosítót továbbított a támadó által ellenőrzött szervernek a nexsnield[.]com címen, lehetővé téve az áldozatok nyomon követését. A rosszindulatú tevékenység a telepítés után 60 percig késett, majd 10 percenként újrafutott.

A DoS rutin elindítása előtt a bővítmény egy időbélyeget tárolt a helyi tárolóban. Amikor a felhasználó kényszerített kilépést hajtott végre és újraindította a böngészőt, egy indítási kezelő ellenőrizte ezt az értéket. Ha jelen volt, megjelent a CrashFix felugró ablak, majd törölte az időbélyeget, azt az illúziót keltve, hogy a figyelmeztetés a rendszerösszeomlás következménye, nem pedig oka.

A DoS rutin csak akkor futott le, ha három feltétel teljesült: az áldozat UUID-ja létezett, a parancs- és vezérlőkiszolgáló sikeresen válaszolt, és a felugró ablakot legalább egyszer megnyitották és bezárták. Ez a logika erősen arra utal, hogy az operátorok a hasznos terhelési ciklus teljes aktiválása előtt meg akarták erősíteni a felhasználói interakciót.

Az eredmény egy önfenntartó ciklus volt. Minden egyes lefagyás utáni kényszerített újraindítás újra aktiválta a hamis figyelmeztetést. Ha a bővítmény telepítve maradt, az összeomlási viselkedés tíz perc elteltével folytatódott.

Kómítás, elemzés-ellenesség és a földön kívüli élet

A hamis felugró ablak számos elemzésgátló intézkedést vezetett be, letiltotta a jobb gombbal megjelenő helyi menüket és blokkolta a fejlesztői eszközök eléréséhez általában használt billentyűparancsokat.

A CrashFix parancs a legitim Windows finger.exe segédprogramot használta fel egy másodlagos szintű hasznos adat lekérésére és végrehajtására a 199.217.98[.]108 címről. A KongTuke Finger segédprogramjának használatát korábban, 2025 decemberében dokumentálták.

A letöltött hasznos adat egy PowerShell-parancs volt, amely egy további szkriptet hívott le, amelynek tartalmát több Base64 kódolási réteg és XOR műveletek segítségével rejtette el, a SocGholish kampányokkal régóta összefüggő technikákat idézve.

A visszafejtés után a szkript több mint 50 ismert elemzőeszközt és virtuálisgép-jelzőt keresett az aktív folyamatokban, és azonnal leállította a folyamatot, ha talált ilyet. Azt is kiértékelte, hogy a rendszer tartományhoz csatlakozik-e vagy önálló munkacsoport része, majd egy HTTP POST kérést küldött vissza ugyanarra a szerverre, amely a következőket tartalmazta:

• A telepített víruskereső termékek listája
• Gazdagép-besorolási jelző: „ABCD111” önálló rendszerekhez és „BCDA222” tartományhoz csatlakoztatott gépekhez

ModeloRAT: Vállalati környezetre szabva

Ha a fertőzött rendszert tartományhoz csatlakoztatottként azonosították, a fertőzési lánc a ModeloRAT, egy Python-alapú Windows távoli hozzáférést biztosító trójai telepítésével csúcsosodott ki. A rosszindulatú program RC4 titkosítású csatornákon keresztül kommunikál a parancs- és vezérlőszerverekkel a 170.168.103[.]208 vagy a 158.247.252[.]178 címen.

A ModeloRAT a Windows rendszerleíró adatbázisán keresztül biztosítja a perzisztenciát, és támogatja bináris fájlok, DLL-ek, Python szkriptek és PowerShell parancsok végrehajtását. Beépített életciklus-vezérlőket is tartalmaz, amelyek lehetővé teszik az operátorok számára, hogy távolról frissítsék az implantátumot, vagy dedikált parancsok segítségével leállítsák azt.

A RAT egy többszintű jelzőrendszer-stratégiát valósít meg, amelynek célja a viselkedésbeli észlelés elkerülése:

• Normál körülmények között 300 másodpercenként villog.
• Amikor a szerver aktív módba kapcsolja, agresszívan lekérdezi a rendszert egy konfigurálható időközönként, alapértelmezés szerint 150 milliszekundumban.
• Hat egymást követő kommunikációs hiba után 900 másodperces intervallumokra állítja vissza a készüléket.
• Egyetlen hiba után 150 másodperc múlva megpróbál újracsatlakozni, mielőtt visszatér a normál időzítéshez.

Ez az adaptív logika lehetővé teszi a ModeloRAT számára, hogy beolvadjon a hálózati forgalomba, miközben továbbra is támogatja a gyors operátori interakciót, amikor szükséges.

Kétirányú fertőzési stratégia

Míg a ModeloRAT tartományhoz csatlakoztatott rendszereken történő telepítése erősen a vállalati környezetekre és a mélyebb hálózati behatolásra való összpontosításra utal, az önálló gépeket egy másik, többlépcsős sorrenden keresztül irányították át. Ezekben az esetekben a parancs- és vezérlőkiszolgáló végül a „TEST PAYLOAD!!!!” üzenettel válaszolt, ami arra utal, hogy ez a párhuzamos fertőzési útvonal még fejlesztés alatt állhat.

A nagyobb kép: Tervezett társadalmi manipuláció

A KongTuke CrashFix kampánya jól szemlélteti, hogyan finomítják a modern kiberfenyegetők a társadalmi manipulációt egy teljesen megtervezett kontrollhurokká. Egy megbízható, nyílt forráskódú projektnek adva ki magukat, szándékosan destabilizálva a böngészőt, majd egy hamisított javítást bemutatva a támadók a felhasználói frusztrációt megfeleléssé alakították.

A művelet azt demonstrálja, hogyan lehet a böngészőbővítményeket, a megbízható piactereket és a földöntúli eszközöket egy rugalmas fertőzési láncolattá egyesíteni, amely nemcsak lopakodással, hanem az áldozat ismételt manipulálásával is fennmarad, hogy maga indítsa el a támadást.