„CrashFix“ „Chrome“ plėtinys
Kibernetinio saugumo tyrėjai atskleidė aktyvią kampaniją, pavadintą „KongTuke“, kuri piktnaudžiauja kenkėjišku „Google Chrome“ plėtiniu, apsimetančiu reklamos blokatoriumi. Plėtinys sukurtas taip, kad tyčia užstrigtų naršyklė ir manipuliuotų aukomis, priversdamas jas vykdyti užpuoliko kontroliuojamas komandas, naudojant „ClickFix“ stiliaus socialinę inžineriją. Ši naujausia technikos evoliucija buvo pavadinta „CrashFix“ ir galiausiai pateikia anksčiau nedokumentuotą nuotolinės prieigos Trojos arklį, žinomą kaip „ModeloRAT“.
„KongTuke“, dar identifikuojama kaip 404 TDS, „Chaya_002“, „LandUpdate808“ ir „TAG-124“, veikia kaip srauto paskirstymo sistema (TDS). Ji profiliuoja aukų aplinkas ir nukreipia pasirinktus taikinius į kenkėjišką naudingosios apkrovos pristatymo infrastruktūrą. Prieiga prie užkrėstų kompiuterių parduodama arba perduodama kitiems grėsmių subjektams, įskaitant išpirkos reikalaujančių programų operatorius, kad būtų galima atlikti antrinio etapo užkrėtimus.
Anksčiau pastebėta, kad grėsmių grupuotės, pasinaudojančios TAG-124 infrastruktūra, yra „Rhysida“ išpirkos reikalaujanti programa, „Interlock“ išpirkos reikalaujanti programa ir TA866 („Asylum Ambuscade“). 2025 m. balandžio mėn. ataskaitoje teigiama, kad ši veikla taip pat buvo siejama su „SocGholish“ ir „D3F@ck Loader“.
Turinys
Nuo „Chrome“ internetinės parduotuvės iki kompromiso
Dokumentuotoje užkrėtimo grandinėje aukos internete ieškojo reklamos blokatoriaus ir joms buvo parodytas kenkėjiškas skelbimas, nukreipiantis jas į naršyklės plėtinį, esantį tiesiai oficialioje „Chrome“ internetinėje parduotuvėje.
Plėtinys, pavadintas „NexShield – Advanced Web Guardian“ (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi), pristatė save kaip „galutinę privatumo apsaugą“, teigdamas, kad blokuoja skelbimus, sekiklius, kenkėjiškas programas ir įkyrų interneto turinį. Prieš pašalinant, jis buvo atsisiųstas mažiausiai 5000 kartų.
Techniškai plėtinys buvo beveik identiškas teisėto reklamos blokavimo plėtinio klonas. Tačiau po įprasta sąsaja jis buvo sukurtas taip, kad rodytų suklastotą saugumo įspėjimą, kuriame teigiama, kad naršyklė „neįprastai sustojo“, ir raginama vartotojus pradėti netikrą nuskaitymą, neva susietą su „Microsoft Edge“.
Žlungančios sėkmės inžinerija pasitikėjimo gamybai
Jei vartotojas spustelėdavo, kad paleistų nuskaitymą, plėtinys rodydavo instrukcijas, kaip atidaryti „Windows“ vykdymo dialogo langą ir vykdyti komandą, kuri jau buvo nukopijuota į iškarpinę. Kai tik tai įvykdavo, plėtinys tyčia paleidžia aptarnavimo trikdymo rutiną, kuri sukuria nesibaigiančius vykdymo laiko prievadų ryšius per begalinį ciklą, kartodama tą patį veiksmą iki milijardo kartų.
Dėl išteklių išeikvojimo sunaudota itin daug atminties, todėl naršyklė sulėtėjo, nereagavo ir galiausiai užstrigdavo. Tyčinis nestabilumas nebuvo šalutinis poveikis, o socialinės inžinerijos pasekmė.
Įdiegus plėtinį, jis perdavė unikalų identifikatorių užpuoliko kontroliuojamam serveriui adresu nexsnield[.]com, taip įgalindamas aukų sekimą. Kenkėjiška veikla buvo atidėta 60 minučių po įdiegimo, po to ji buvo vykdoma pakartotinai kas 10 minučių.
Prieš paleisdamas DoS procedūrą, plėtinys išsaugojo laiko žymą vietinėje saugykloje. Kai vartotojas priverstinai uždarė naršyklę ir paleido ją iš naujo, paleidimo tvarkyklė patikrino šią reikšmę. Jei ji buvo, pasirodė iššokantis „CrashFix“ langas, kuris ištrynė laiko žymą, sukurdamas iliuziją, kad įspėjimas buvo gedimo pasekmė, o ne jo priežastis.
DoS rutina buvo vykdoma tik tada, kai buvo įvykdytos trys sąlygos: aukos UUID egzistavo, komandų ir valdymo serveris sėkmingai atsakė ir iššokantis langas buvo atidarytas ir uždarytas bent kartą. Ši logika aiškiai rodo, kad operatoriai norėjo patvirtinti vartotojo sąveiką prieš visiškai aktyvuodami naudingosios apkrovos ciklą.
Rezultatas buvo savaime išsilaikantis ciklas. Kiekvienas priverstinis paleidimas iš naujo po užstrigimo iš naujo suaktyvindavo netikrą įspėjimą. Jei plėtinys liko įdiegtas, gedimo elgesys atsinaujindavo po dešimties minučių.
Obfuskacija, antianalizė ir gyvenimas ne pagal paskirtį
Netikras iššokantis langas įdiegė keletą antianalizės priemonių, išjungdamas dešiniojo pelės mygtuko kontekstinius meniu ir blokuodamas sparčiuosius klavišus, paprastai naudojamus norint pasiekti kūrėjo įrankius.
„CrashFix“ komanda piktnaudžiavo teisėta „Windows“ programa „finger.exe“, kad gautų ir vykdytų antrinio etapo naudingąją apkrovą iš 199.217.98[.]108. „KongTuke“ „Finger“ programos naudojimas anksčiau buvo dokumentuotas 2025 m. gruodžio mėn.
Atsisiųstas paketas buvo „PowerShell“ komanda, kuri atsiuntė papildomą scenarijų, kurio turinys buvo paslėptas naudojant kelis „Base64“ kodavimo ir XOR operacijų sluoksnius, atkartojant su „SocGholish“ kampanijomis jau seniai siejamas technikas.
Iššifruotas scenarijus nuskaitė aktyvius procesus, ieškodamas daugiau nei 50 žinomų analizės įrankių ir virtualių mašinų indikatorių, ir nedelsdamas nutraukė procesą, jei tokių rasdavo. Jis taip pat įvertino, ar sistema buvo prijungta prie domeno, ar atskiros darbo grupės dalis, tada išsiuntė HTTP POST užklausą atgal į tą patį serverį, kurioje buvo:
- Įdiegtų antivirusinių produktų sąrašas
- Pagrindinio kompiuterio klasifikavimo žymė: „ABCD111“ atskiroms sistemoms ir „BCDA222“ prie domeno prijungtoms mašinoms
ModeloRAT: pritaikyta įmonių aplinkai
Jei užkrėsta sistema buvo identifikuota kaip prijungta prie domeno, užkrato grandinė kulminacija buvo „ModeloRAT“ – „Python“ pagrindu sukurto „Windows“ nuotolinės prieigos Trojos arklio – dislokavimas. Kenkėjiška programa bendrauja RC4 užšifruotais kanalais su komandų ir valdymo serveriais, esančiais 170.168.103[.]208 arba 158.247.252[.]178.
„ModeloRAT“ užtikrina duomenų saugojimo saugumą per „Windows“ registrą ir palaiko dvejetainių failų, DLL, „Python“ scenarijų ir „PowerShell“ komandų vykdymą. Ji taip pat apima integruotus gyvavimo ciklo valdiklius, leidžiančius operatoriams nuotoliniu būdu atnaujinti implantą arba jį nutraukti naudojant specialias komandas.
RAT įgyvendina daugiapakopę švyturių strategiją, skirtą išvengti elgesio aptikimo:
- Įprastomis sąlygomis jis skleidžia signalą kas 300 sekundžių.
- Kai serveris perjungia į aktyvųjį režimą, jis agresyviai atlieka apklausas konfigūruojamu intervalu, kurio numatytoji reikšmė yra 150 milisekundžių.
- Po šešių iš eilės nutrūkusių ryšio sutrikimų jis sumažinamas iki 900 sekundžių intervalų.
- Po vieno gedimo jis bando prisijungti iš naujo po 150 sekundžių, prieš grįždamas prie standartinio laiko.
Ši adaptyvi logika leidžia „ModeloRAT“ įsilieti į tinklo srautą, tuo pačiu palaikant greitą operatoriaus sąveiką, kai to reikia.
Dviejų krypčių infekcijos strategija
Nors „ModeloRAT“ diegimas prie domenų prijungtose sistemose aiškiai rodo, kad daugiausia dėmesio skiriama įmonių aplinkai ir gilesniam tinklo įsiskverbimui, atskiri kompiuteriai buvo nukreipiami per kitokią kelių etapų seką. Tokiais atvejais komandų ir valdymo serveris galiausiai atsakė pranešimu „BANDYTI APKROVĘ!!!!“, o tai rodo, kad šis lygiagretus užkrėtimo kelias vis dar gali būti kuriamas.
Platesnis vaizdas: socialinė inžinerija pagal dizainą
„KongTuke“ kampanija „CrashFix“ iliustruoja, kaip šiuolaikiniai kibernetiniai veikėjai socialinę inžineriją paverčia visiškai sukonstruotu valdymo ciklu. Apsimesdami patikimu atvirojo kodo projektu, tyčia destabilizuodami naršyklę ir pateikdami suklastotą sprendimą, užpuolikai vartotojų nusivylimą pavertė atitikimu reikalavimams.
Ši operacija parodo, kaip naršyklės plėtinius, patikimas prekyvietes ir natūralius įrankius galima sujungti į atsparią užkrato grandinę, kuri išlieka ne vien slapta, bet ir nuolat manipuliuojant auka, kad ji pati sukeltų ataką.
