Sambungan Chrome CrashFix
Penyelidik keselamatan siber telah menemui satu kempen aktif, yang digelar KongTuke, yang menyalahgunakan sambungan Google Chrome berniat jahat yang menyamar sebagai penyekat iklan. Sambungan ini direka bentuk untuk sengaja merosakkan pelayar dan memanipulasi mangsa supaya melaksanakan arahan yang dikawal penyerang melalui kejuruteraan sosial ala ClickFix. Evolusi terkini teknik ini telah dinamakan semula sebagai CrashFix dan akhirnya menghasilkan trojan akses jauh yang sebelum ini tidak didokumenkan yang dikenali sebagai ModeloRAT.
KongTuke, juga dikesan sebagai 404 TDS, Chaya_002, LandUpdate808 dan TAG-124, beroperasi sebagai sistem pengedaran trafik (TDS). Ia memprofilkan persekitaran mangsa dan mengalihkan sasaran terpilih ke infrastruktur penghantaran muatan yang berniat jahat. Akses kepada hos yang dijangkiti kemudiannya dijual atau dipindahkan kepada pelaku ancaman lain, termasuk pengendali ransomware, untuk membolehkan kompromi peringkat sekunder.
Kumpulan ancaman yang sebelum ini diperhatikan memanfaatkan infrastruktur TAG-124 termasuk ransomware Rhysida, ransomware Interlock dan TA866 (Asylum Ambuscade). Aktiviti ini juga telah dikaitkan dengan SocGholish dan D3F@ck Loader, menurut laporan April 2025.
Isi kandungan
Dari Gedung Web Chrome kepada Kompromi
Dalam rantaian jangkitan yang didokumenkan, mangsa mencari dalam talian untuk penyekat iklan dan dipaparkan iklan berniat jahat yang mengalihkan mereka ke sambungan pelayar yang dihoskan terus di Gedung Web Chrome rasmi.
Sambungan tersebut, yang dinamakan 'NexShield – Advanced Web Guardian' (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi), menampilkan dirinya sebagai 'perisai privasi muktamad' yang mendakwa dapat menyekat iklan, penjejak, perisian hasad dan kandungan web yang mengganggu. Sebelum penyingkirannya, ia telah mengumpulkan sekurang-kurangnya 5,000 muat turun.
Secara teknikalnya, sambungan tersebut merupakan klon yang hampir sama dengan sambungan penyekat iklan yang sah. Walau bagaimanapun, di bawah antara muka yang biasa, ia direka bentuk untuk memaparkan amaran keselamatan palsu yang menyatakan bahawa pelayar telah 'berhenti secara tidak normal' dan mendorong pengguna untuk memulakan imbasan palsu yang kononnya dikaitkan dengan Microsoft Edge.
Kejuruteraan Kerosakan untuk Menjana Amanah
Jika pengguna mengklik untuk menjalankan imbasan, sambungan tersebut memaparkan arahan untuk membuka dialog Windows Run dan melaksanakan arahan yang telah disalin ke papan keratan. Sebaik sahaja ini berlaku, sambungan tersebut sengaja melancarkan rutin penafian perkhidmatan yang mencipta sambungan port masa jalan tanpa henti melalui gelung tanpa henti, mengulangi langkah yang sama sehingga satu bilion kali.
Kekurangan sumber ini menyebabkan penggunaan memori yang melampau, menjadikan pelayar perlahan, tidak responsif, dan akhirnya menyebabkan ranap. Ketidakstabilan yang disengajakan bukanlah kesan sampingan, ia adalah pencetus kejuruteraan sosial.
Setelah dipasang, sambungan tersebut menghantar pengecam unik ke pelayan yang dikawal oleh penyerang di nexsnield[.]com, membolehkan pengesanan mangsa. Aktiviti berniat jahat ditangguhkan selama 60 minit selepas pemasangan, dan selepas itu ia dilaksanakan semula setiap 10 minit.
Sebelum melancarkan rutin DoS, sambungan tersebut menyimpan cap waktu dalam storan setempat. Apabila pengguna memaksa keluar dan memulakan semula pelayar, pengendali permulaan akan menyemak nilai ini. Jika ada, tetingkap timbul CrashFix akan muncul dan kemudian memadamkan cap waktu tersebut, mewujudkan ilusi bahawa amaran itu adalah akibat daripada ranap sistem dan bukannya puncanya.
Rutin DoS hanya dilaksanakan apabila tiga syarat dipenuhi: UUID mangsa wujud, pelayan arahan dan kawalan bertindak balas dengan jayanya dan tetingkap timbul telah dibuka dan ditutup sekurang-kurangnya sekali. Logik ini sangat mencadangkan bahawa pengendali ingin mengesahkan interaksi pengguna sebelum mengaktifkan sepenuhnya gelung muatan.
Hasilnya adalah kitaran yang berterusan. Setiap mula semula secara paksa selepas pembekuan akan mencetuskan semula amaran palsu. Jika sambungan kekal dipasang, tingkah laku ranap akan disambung semula selepas sepuluh minit.
Kekeliruan, Anti-Analisis dan Kehidupan di Luar Tanah
Pop timbul palsu itu melaksanakan beberapa langkah anti-analisis, melumpuhkan menu konteks klik kanan dan menyekat pintasan papan kekunci yang biasanya digunakan untuk mengakses alatan pembangun.
Arahan CrashFix telah menyalahgunakan utiliti Windows yang sah iaitu finger.exe untuk mendapatkan dan melaksanakan muatan peringkat sekunder daripada 199.217.98[.]108. Penggunaan utiliti Finger oleh KongTuke sebelum ini telah didokumenkan pada Disember 2025.
Muatan yang dimuat turun ialah arahan PowerShell yang mengambil skrip tambahan, yang menyembunyikan kandungannya melalui pelbagai lapisan pengekodan Base64 dan operasi XOR, mengulangi teknik yang telah lama dikaitkan dengan kempen SocGholish.
Setelah dinyahsulit, skrip tersebut mengimbas proses aktif untuk lebih daripada 50 alat analisis dan penunjuk mesin maya yang diketahui dan ditamatkan serta-merta jika ada yang ditemui. Ia juga menilai sama ada sistem tersebut disertai domain atau sebahagian daripada kumpulan kerja yang berdiri sendiri, kemudian menghantar permintaan HTTP POST kembali ke pelayan yang sama yang mengandungi:
- Senarai produk antivirus yang dipasang
- Bendera pengelasan hos: 'ABCD111' untuk sistem kendiri dan 'BCDA222' untuk mesin yang disertai domain
ModeloRAT: Disesuaikan untuk Persekitaran Korporat
Jika sistem yang dijangkiti dikenal pasti sebagai domain-joined, rantaian jangkitan akan memuncak dalam penggunaan ModeloRAT, trojan akses jauh Windows berasaskan Python. Malware ini berkomunikasi melalui saluran yang disulitkan RC4 dengan pelayan arahan dan kawalan di 170.168.103[.]208 atau 158.247.252[.]178.
ModeloRAT mewujudkan kegigihan melalui Windows Registry dan menyokong pelaksanaan binari, DLL, skrip Python dan arahan PowerShell. Ia juga termasuk kawalan kitaran hayat terbina dalam, yang membolehkan pengendali mengemas kini implan dari jauh atau menamatkannya menggunakan arahan khusus.
RAT melaksanakan strategi isyarat berbilang peringkat yang direka untuk mengelakkan pengesanan tingkah laku:
- Dalam keadaan biasa, ia memberi isyarat setiap 300 saat.
- Apabila pelayan menukar kepada mod aktif, ia akan membuat tinjauan secara agresif pada selang masa yang boleh dikonfigurasikan, secara lalainya akan menjadi 150 milisaat.
- Selepas enam kegagalan komunikasi berturut-turut, ia berundur kepada selang masa 900 saat.
- Berikutan satu kegagalan, ia cuba menyambung semula selepas 150 saat sebelum kembali kepada pemasaan standard.
Logik adaptif ini membolehkan ModeloRAT bergabung dengan trafik rangkaian sambil masih menyokong interaksi operator pantas apabila diperlukan.
Strategi Jangkitan Dua Laluan
Walaupun penggunaan ModeloRAT pada sistem yang disertai domain menunjukkan dengan jelas tumpuan pada persekitaran korporat dan penembusan rangkaian yang lebih mendalam, mesin kendiri telah dihalakan melalui jujukan berbilang peringkat yang berbeza. Dalam kes tersebut, pelayan arahan dan kawalan akhirnya bertindak balas dengan mesej 'UJIAN MUATAN!!!!', menunjukkan bahawa laluan jangkitan selari ini mungkin masih dalam pembangunan.
Gambaran Lebih Besar: Kejuruteraan Sosial melalui Reka Bentuk
Kempen CrashFix KongTuke menggambarkan bagaimana pelaku ancaman moden sedang memperhalusi kejuruteraan sosial menjadi gelung kawalan yang direkayasa sepenuhnya. Dengan menyamar sebagai projek sumber terbuka yang dipercayai, sengaja mengganggu kestabilan pelayar, dan kemudian mengemukakan pembetulan palsu, penyerang mengubah kekecewaan pengguna menjadi pematuhan.
Operasi ini menunjukkan bagaimana sambungan pelayar, pasaran yang dipercayai dan alatan yang bergantung pada sumber asli boleh digabungkan menjadi rantaian jangkitan yang berdaya tahan, yang berterusan bukan sahaja melalui senyap, tetapi dengan berulang kali memanipulasi mangsa untuk mencetuskan serangan itu sendiri.
