CrashFix Chrome paplašinājums

Kiberdrošības pētnieki ir atklājuši aktīvu kampaņu ar nosaukumu KongTuke, kas ļaunprātīgi izmanto ļaunprātīgu Google Chrome paplašinājumu, kas izliekas par reklāmu bloķētāju. Paplašinājums ir izstrādāts, lai apzināti izraisītu pārlūkprogrammas avāriju un manipulētu upurus, lai tie izpildītu uzbrucēja kontrolētas komandas, izmantojot ClickFix stila sociālo inženieriju. Šī jaunākā tehnikas evolūcija ir nosaukta par CrashFix un galu galā izplata iepriekš nedokumentētu attālās piekļuves Trojas zirgu, kas pazīstams kā ModeloRAT.

KongTuke, kas tiek izsekots arī kā 404 TDS, Chaya_002, LandUpdate808 un TAG-124, darbojas kā datplūsmas sadales sistēma (TDS). Tā profilē upuru vides un novirza atlasītos mērķus uz ļaunprātīgu lietderīgās slodzes piegādes infrastruktūru. Piekļuve inficētiem resursdatoriem pēc tam tiek pārdota vai nodota citiem apdraudējumu dalībniekiem, tostarp izspiedējvīrusu operatoriem, lai nodrošinātu sekundāras pakāpes kompromitēšanu.

Iepriekš novērots, ka draudu grupas, kas izmanto TAG-124 infrastruktūru, ir Rhysida izspiedējvīruss, Interlock izspiedējvīruss un TA866 (Asylum Ambuscade). Saskaņā ar 2025. gada aprīļa ziņojumu šī darbība ir saistīta arī ar SocGholish un D3F@ck Loader.

No Chrome interneta veikala līdz kompromisam

Dokumentētajā inficēšanās ķēdē upuri tiešsaistē meklēja reklāmu bloķētāju un saņēma ļaunprātīgu reklāmu, kas viņus novirzīja uz pārlūkprogrammas paplašinājumu, kas bija mitināts tieši oficiālajā Chrome interneta veikalā.

Paplašinājums ar nosaukumu “NexShield – Advanced Web Guardian” (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi) sevi pasludināja par “pilnīgu privātuma vairogu”, apgalvojot, ka tas bloķē reklāmas, izsekotājus, ļaunprogrammatūru un uzmācīgu tīmekļa saturu. Pirms noņemšanas tas bija lejupielādējis vismaz 5000 reizes.

Tehniski paplašinājums bija gandrīz identisks likumīga reklāmu bloķēšanas paplašinājuma klons. Tomēr zem pazīstamā interfeisa tas bija izstrādāts tā, lai parādītu safabricētu drošības brīdinājumu, kurā teikts, ka pārlūkprogramma ir “neparasti apstājusies”, un aicinot lietotājus uzsākt viltus skenēšanu, kas it kā ir saistīta ar Microsoft Edge.

Izstrādājot krahu, lai radītu uzticību

Ja lietotājs noklikšķināja, lai palaistu skenēšanu, paplašinājums parādīja norādījumus, kā atvērt Windows dialoglodziņu “Palaist” un izpildīt komandu, kas jau bija kopēta starpliktuvē. Tiklīdz tas notika, paplašinājums apzināti palaida pakalpojuma atteikuma rutīnu, kas izveidoja nebeidzamus izpildlaika portu savienojumus, izmantojot bezgalīgu ciklu, atkārtojot vienu un to pašu darbību līdz pat miljardam reižu.

Šī resursu izsīkšana izraisīja ārkārtēju atmiņas patēriņu, padarot pārlūkprogrammu lēnu, nereaģējošu un galu galā izraisot avāriju. Apzināta nestabilitāte nebija blakusparādība, bet gan sociālās inženierijas izraisītājs.

Pēc instalēšanas paplašinājums nosūtīja unikālu identifikatoru uzbrucēja kontrolētajam serverim vietnē nexsnield[.]com, iespējojot upuru izsekošanu. Ļaunprātīga darbība tika aizkavēta 60 minūtes pēc instalēšanas, pēc tam tā tika atkārtoti izpildīta ik pēc 10 minūtēm.

Pirms DoS rutīnas palaišanas paplašinājums lokālajā atmiņā saglabāja laika zīmogu. Kad lietotājs piespiedu kārtā aizvēra pārlūkprogrammu un restartēja to, startēšanas apstrādātājs pārbaudīja šo vērtību. Ja tāda bija, parādījās uznirstošais logs CrashFix un pēc tam izdzēsa laika zīmogu, radot ilūziju, ka brīdinājums bija avārijas sekas, nevis tās cēlonis.

DoS rutīna tika izpildīta tikai tad, ja bija izpildīti trīs nosacījumi: upura UUID pastāvēja, komandu un vadības serveris veiksmīgi atbildēja un uznirstošais logs bija atvērts un aizvērts vismaz vienu reizi. Šī loģika stingri norāda, ka operatori vēlējās apstiprināt lietotāja mijiedarbību pirms lietderīgās slodzes cilpas pilnīgas aktivizēšanas.

Rezultātā radās pašpietiekams cikls. Katra piespiedu restartēšana pēc iesaldēšanas atkārtoti aktivizēja viltus brīdinājumu. Ja paplašinājums palika instalēts, avārijas darbība atsākās pēc desmit minūtēm.

Aptumšošana, antianalīze un dzīvošana ārpus zemes

Viltus uznirstošajā logā tika ieviesti vairāki pretanalīzes pasākumi, atspējojot labās pogas konteksta izvēlnes un bloķējot īsinājumtaustiņus, ko parasti izmanto, lai piekļūtu izstrādātāju rīkiem.

CrashFix komanda ļaunprātīgi izmantoja likumīgo Windows utilītu finger.exe, lai izgūtu un izpildītu sekundārā posma vērtumu no 199.217.98[.]108. KongTuke Finger utilītas izmantošana iepriekš tika dokumentēta 2025. gada decembrī.

Lejupielādētā vērtuma slodze bija PowerShell komanda, kas ielādēja papildu skriptu, kurš slēpa tā saturu, izmantojot vairākus Base64 kodēšanas un XOR operāciju slāņus, atspoguļojot metodes, kas jau sen ir saistītas ar SocGholish kampaņām.

Pēc atšifrēšanas skripts skenēja aktīvos procesus, meklējot vairāk nekā 50 zināmus analīzes rīkus un virtuālās mašīnas indikatorus, un nekavējoties pārtrauca darbību, ja tādi tika atrasti. Tas arī novērtēja, vai sistēma bija pievienota domēnam vai daļa no atsevišķas darba grupas, un pēc tam nosūtīja HTTP POST pieprasījumu atpakaļ uz to pašu serveri, kurā bija:

• Instalēto pretvīrusu produktu saraksts
• Resursdatora klasifikācijas karodziņš: “ABCD111” atsevišķām sistēmām un “BCDA222” domēnam pievienotām iekārtām

ModeloRAT: pielāgots korporatīvajai videi

Ja inficētā sistēma tika identificēta kā domēnam pievienota, inficēšanas ķēde kulminējās ar ModeloRAT, Python bāzes Windows attālās piekļuves Trojas zirga, izvietošanu. Ļaunprogramma sazinās, izmantojot RC4 šifrētus kanālus, ar komandu un vadības serveriem 170.168.103[.]208 vai 158.247.252[.]178.

ModeloRAT nodrošina pastāvīgu piekļuvi, izmantojot Windows reģistru, un atbalsta bināro failu, DLL, Python skriptu un PowerShell komandu izpildi. Tas ietver arī iebūvētas dzīves cikla vadīklas, kas ļauj operatoriem attālināti atjaunināt implantu vai pārtraukt tā darbību, izmantojot īpašas komandas.

RAT īsteno daudzlīmeņu bākugunēšanas stratēģiju, kas paredzēta, lai izvairītos no uzvedības noteikšanas:

• Normālos apstākļos tas ieslēdzas ik pēc 300 sekundēm.
• Kad serveris pārslēdz to aktīvajā režīmā, tas agresīvi veic aptauju ar konfigurējamu intervālu, kura noklusējuma iestatījums ir 150 milisekundes.
• Pēc sešām secīgām sakaru kļūmēm tas pārslēdzas uz 900 sekunžu intervāliem.
• Pēc vienas kļūmes tas mēģina atjaunot savienojumu pēc 150 sekundēm, pirms atgriežas standarta laikā.

Šī adaptīvā loģika ļauj ModeloRAT iekļauties tīkla datplūsmā, vienlaikus atbalstot ātru operatora mijiedarbību, kad tas nepieciešams.

Divvirzienu infekcijas stratēģija

Lai gan ModeloRAT izvietošana domēniem pievienotās sistēmās skaidri norāda uz koncentrēšanos uz korporatīvo vidi un dziļāku tīkla iespiešanos, savrupās mašīnas tika maršrutētas, izmantojot citu daudzpakāpju secību. Šādos gadījumos komandu un vadības serveris galu galā atbildēja ar ziņojumu “TEST PAYLOAD!!!!”, kas liek domāt, ka šis paralēlais inficēšanas ceļš, iespējams, joprojām tiek izstrādāts.

Plašāks skatījums: sociālā inženierija pēc plāna

KongTuke kampaņa CrashFix ilustrē, kā mūsdienu apdraudējumu izpildītāji pilnveido sociālo inženieriju pilnībā konstruētā kontroles cilpā. Uzdodoties par uzticamu atvērtā pirmkoda projektu, apzināti destabilizējot pārlūkprogrammu un pēc tam piedāvājot viltotu labojumu, uzbrucēji lietotāju neapmierinātību pārvērta atbilstības nodrošināšanā.

Šī operācija parāda, kā pārlūkprogrammas paplašinājumus, uzticamus tirgus platformas un ikdienas rīkus var apvienot noturīgā inficēšanās ķēdē, kas pastāv ne tikai slepeni, bet arī atkārtoti manipulējot ar upuri, lai tas pats izraisītu uzbrukumu.