Estensione Chrome CrashFix
I ricercatori di sicurezza informatica hanno scoperto una campagna attiva, denominata KongTuke, che sfrutta un'estensione dannosa di Google Chrome spacciandosi per un ad-blocker. L'estensione è progettata per bloccare deliberatamente il browser e manipolare le vittime inducendole a eseguire comandi controllati dall'aggressore tramite tecniche di ingegneria sociale in stile ClickFix. Quest'ultima evoluzione della tecnica è stata denominata CrashFix e, in ultima analisi, diffonde un trojan di accesso remoto precedentemente non documentato, noto come ModeloRAT.
KongTuke, tracciato anche come 404 TDS, Chaya_002, LandUpdate808 e TAG-124, opera come un sistema di distribuzione del traffico (TDS). Profila gli ambienti delle vittime e reindirizza i target selezionati verso un'infrastruttura di distribuzione del payload dannoso. L'accesso agli host infetti viene quindi venduto o trasferito ad altri autori di minacce, inclusi gli operatori di ransomware, per consentire compromissioni di secondo livello.
Tra i gruppi di minacce precedentemente osservati che sfruttavano l'infrastruttura TAG-124 figurano il ransomware Rhysida, il ransomware Interlock e TA866 (Asylum Ambuscade). Secondo un rapporto dell'aprile 2025, l'attività è stata collegata anche a SocGholish e D3F@ck Loader.
Sommario
Dal Chrome Web Store al compromesso
Nella catena di infezione documentata, le vittime hanno cercato online un ad-blocker e si sono ritrovate di fronte a un annuncio pubblicitario dannoso che le ha reindirizzate a un'estensione del browser ospitata direttamente sul Chrome Web Store ufficiale.
L'estensione, denominata "NexShield – Advanced Web Guardian" (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi), si presentava come uno "scudo per la privacy definitivo", affermando di bloccare pubblicità, tracker, malware e contenuti web intrusivi. Prima della sua rimozione, aveva accumulato almeno 5.000 download.
Tecnicamente, l'estensione era un clone quasi identico di un'estensione legittima per il blocco degli annunci. Sotto l'interfaccia familiare, tuttavia, era progettata per visualizzare un avviso di sicurezza fittizio che segnalava un "arresto anomalo del browser" e invitava gli utenti ad avviare una scansione fasulla presumibilmente collegata a Microsoft Edge.
Progettare un crash per creare fiducia
Se l'utente cliccava per avviare la scansione, l'estensione visualizzava le istruzioni per aprire la finestra di dialogo Esegui di Windows ed eseguire un comando già copiato negli appunti. Non appena ciò si verificava, l'estensione avviava intenzionalmente una routine di negazione del servizio che creava infinite connessioni alle porte di runtime attraverso un ciclo infinito, ripetendo lo stesso passaggio fino a un miliardo di volte.
Questo esaurimento delle risorse ha causato un consumo di memoria estremo, rendendo il browser lento, non reattivo e, infine, causando un crash. L'instabilità deliberata non è stata un effetto collaterale, ma l'innesco dell'ingegneria sociale.
Una volta installata, l'estensione trasmetteva un identificativo univoco a un server controllato dall'aggressore su nexsnield[.]com, consentendo il tracciamento delle vittime. L'attività dannosa veniva ritardata di 60 minuti dopo l'installazione, per poi essere rieseguita ogni 10 minuti.
Prima di avviare la routine DoS, l'estensione memorizzava un timestamp nella memoria locale. Quando l'utente forzava l'uscita e riavviava il browser, un gestore di avvio verificava questo valore. Se presente, appariva il pop-up CrashFix e poi cancellava il timestamp, creando l'illusione che l'avviso fosse una conseguenza dell'arresto anomalo piuttosto che la sua causa.
La routine DoS veniva eseguita solo quando venivano soddisfatte tre condizioni: l'UUID della vittima esisteva, il server di comando e controllo rispondeva correttamente e il pop-up era stato aperto e chiuso almeno una volta. Questa logica suggerisce fortemente che gli operatori volessero confermare l'interazione dell'utente prima di attivare completamente il ciclo del payload.
Il risultato era un ciclo autosostenibile. Ogni riavvio forzato dopo un blocco riattivava il falso avviso. Se l'estensione rimaneva installata, il crash riprendeva dopo dieci minuti.
Offuscamento, anti-analisi e vita fuori dalla terra
Il finto pop-up implementava diverse misure anti-analisi, disabilitando i menu contestuali attivabili con il tasto destro del mouse e bloccando le scorciatoie da tastiera solitamente utilizzate per accedere agli strumenti per sviluppatori.
Il comando CrashFix ha sfruttato in modo improprio l'utility legittima di Windows finger.exe per recuperare ed eseguire un payload di fase secondaria da 199.217.98[.]108. L'utilizzo dell'utility Finger da parte di KongTuke era stato precedentemente documentato nel dicembre 2025.
Il payload scaricato era un comando PowerShell che recuperava uno script aggiuntivo, il quale nascondeva il suo contenuto attraverso più livelli di codifica Base64 e operazioni XOR, richiamando tecniche da tempo associate alle campagne SocGholish.
Una volta decifrato, lo script ha analizzato i processi attivi alla ricerca di oltre 50 strumenti di analisi noti e indicatori di macchine virtuali, interrompendosi immediatamente se ne venivano rilevati. Ha inoltre valutato se il sistema fosse associato a un dominio o facesse parte di un gruppo di lavoro autonomo, quindi ha inviato una richiesta HTTP POST allo stesso server contenente:
- Un elenco dei prodotti antivirus installati
- Un flag di classificazione host: 'ABCD111' per sistemi autonomi e 'BCDA222' per macchine aggiunte al dominio
ModeloRAT: su misura per gli ambienti aziendali
Se il sistema infetto veniva identificato come appartenente a un dominio, la catena di infezione culminava nell'implementazione di ModeloRAT, un trojan di accesso remoto per Windows basato su Python. Il malware comunicava tramite canali crittografati RC4 con i server di comando e controllo agli indirizzi 170.168.103[.]208 o 158.247.252[.]178.
ModeloRAT stabilisce la persistenza attraverso il Registro di sistema di Windows e supporta l'esecuzione di file binari, DLL, script Python e comandi PowerShell. Include inoltre controlli integrati del ciclo di vita, consentendo agli operatori di aggiornare l'impianto o di terminarlo da remoto utilizzando comandi dedicati.
Il RAT implementa una strategia di beaconing multilivello progettata per eludere il rilevamento comportamentale:
- In condizioni normali, emette un segnale ogni 300 secondi.
- Quando il server passa alla modalità attiva, esegue il polling in modo aggressivo a intervalli configurabili, il cui valore predefinito è 150 millisecondi.
- Dopo sei errori di comunicazione consecutivi, gli intervalli tornano a 900 secondi.
- Dopo un singolo errore, tenta di riconnettersi dopo 150 secondi prima di tornare alla temporizzazione standard.
Questa logica adattiva consente a ModeloRAT di integrarsi nel traffico di rete, supportando comunque la rapida interazione dell'operatore quando necessario.
Una strategia di infezione a doppio binario
Sebbene l'implementazione di ModeloRAT su sistemi aggiunti a un dominio indichi chiaramente un'attenzione particolare agli ambienti aziendali e una penetrazione più profonda della rete, le macchine autonome sono state instradate attraverso una diversa sequenza multifase. In questi casi, il server di comando e controllo ha infine risposto con il messaggio "TEST PAYLOAD!!!!", suggerendo che questo percorso di infezione parallelo potrebbe essere ancora in fase di sviluppo.
Il quadro generale: ingegneria sociale in base alla progettazione
La campagna CrashFix di KongTuke illustra come i moderni autori di minacce stiano perfezionando l'ingegneria sociale in un ciclo di controllo completamente progettato. Impersonando un progetto open source affidabile, destabilizzando intenzionalmente il browser e presentando poi una correzione contraffatta, gli aggressori hanno trasformato la frustrazione degli utenti in conformità.
L'operazione dimostra come estensioni del browser, marketplace affidabili e strumenti di economia circolare possano essere fusi in una catena di infezioni resiliente, che persiste non solo agendo furtivamente, ma manipolando ripetutamente la vittima affinché inneschi essa stessa l'attacco.
