Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare CrashFix Chrome-utvidelse

CrashFix Chrome-utvidelse

Med Mezo i Skadelig programvare, Advanced Persistent Threat (APT)
Oversett til:

Forskere innen nettsikkerhet har avdekket en aktiv kampanje, kalt KongTuke, som misbruker en ondsinnet Google Chrome-utvidelse som utgir seg for å være en annonseblokkerer. Utvidelsen er utviklet for å bevisst krasje nettleseren og manipulere ofre til å utføre angriperstyrte kommandoer gjennom sosial manipulering i ClickFix-stil. Denne siste utviklingen av teknikken har fått kodenavnet CrashFix og leverer til slutt en tidligere udokumentert trojaner for fjerntilgang kjent som ModeloRAT.

KongTuke, også sporet som 404 TDS, Chaya_002, LandUpdate808 og TAG-124, fungerer som et trafikkdistribusjonssystem (TDS). Det profilerer offermiljøer og omdirigerer utvalgte mål til ondsinnet infrastruktur for levering av nyttelast. Tilgang til infiserte verter selges eller overføres deretter til andre trusselaktører, inkludert ransomware-operatører, for å muliggjøre kompromitteringer i sekundærfasen.

Trusselgrupper som tidligere er observert ved å utnytte TAG-124-infrastrukturen inkluderer Rhysida ransomware, Interlock ransomware og TA866 (Asylum Ambuscade). Aktiviteten har også blitt knyttet til SocGholish og D3F@ck Loader, ifølge en rapport fra april 2025.

Fra Chrome Nettmarked til kompromiss

I den dokumenterte infeksjonskjeden søkte ofrene på nettet etter en annonseblokkerer og ble vist en ondsinnet annonse som omdirigerte dem til en nettleserutvidelse som var lagret direkte på den offisielle Chrome Nettmarked.

Utvidelsen, kalt «NexShield – Advanced Web Guardian» (ID: cpcdkmjddocijdkbbeiaafnpdbdafmi), presenterte seg selv som et «ultimat personvernskjold» og hevdet å blokkere annonser, sporingsprogrammer, skadelig programvare og påtrengende nettinnhold. Før den ble fjernet, hadde den samlet minst 5000 nedlastinger.

Teknisk sett var utvidelsen en nesten identisk klon av en legitim annonseblokkerende utvidelse. Under det kjente grensesnittet var den imidlertid designet for å vise en fabrikkert sikkerhetsadvarsel som sa at nettleseren hadde «stoppet unormalt» og ba brukere om å starte en falsk skanning angivelig knyttet til Microsoft Edge.

Konstruere en krasj for å produsere tillit

Hvis brukeren klikket for å kjøre skanningen, viste utvidelsen instruksjoner om å åpne Windows Kjør-dialogboks og utføre en kommando som allerede var kopiert til utklippstavlen. Så snart dette skjedde, startet utvidelsen med vilje en tjenestenektelsesrutine som opprettet endeløse kjøretidsforbindelser gjennom en uendelig løkke, og gjentok det samme trinnet opptil én milliard ganger.

Denne ressursutmattelsen forårsaket ekstremt minneforbruk, noe som gjorde nettleseren treg og uresponsiv, og til slutt førte til et krasj. Den bevisste ustabiliteten var ikke en bivirkning, det var den sosial manipulasjonsutløsende faktoren.

Etter installasjonen overførte utvidelsen en unik identifikator til en angriperkontrollert server på nexsnield[.]com, noe som muliggjorde sporing av offeret. Ondsinnet aktivitet ble forsinket i 60 minutter etter installasjonen, hvoretter den ble kjørt på nytt hvert 10. minutt.

Før DoS-rutinen ble startet, lagret utvidelsen et tidsstempel i lokal lagring. Når brukeren tvangsavsluttet og startet nettleseren på nytt, sjekket en oppstartsbehandler denne verdien. Hvis den var til stede, dukket CrashFix-popup-vinduet opp og slettet deretter tidsstempelet, noe som skapte illusjonen om at advarselen var en konsekvens av krasjen snarere enn årsaken.

DoS-rutinen ble bare utført når tre betingelser var oppfylt: offerets UUID eksisterte, kommando- og kontrollserveren svarte uten problemer, og popup-vinduet hadde blitt åpnet og lukket minst én gang. Denne logikken tyder sterkt på at operatørene ønsket å bekrefte brukerinteraksjon før de aktiverte nyttelastsløyfen fullstendig.

Resultatet var en selvopprettholdende syklus. Hver tvungen omstart etter en frysing utløste den falske advarselen på nytt. Hvis utvidelsen forble installert, gjenopptok krasjvirkemåten etter ti minutter.

Forvirring, antianalyse og å leve av landet

Den falske popup-vinduet implementerte flere anti-analysetiltak, deaktiverte høyreklikk-kontekstmenyer og blokkerte hurtigtaster som vanligvis brukes for å få tilgang til utviklerverktøy.

CrashFix-kommandoen misbrukte det legitime Windows-verktøyet finger.exe til å hente og kjøre en sekundær nyttelast fra 199.217.98[.]108. KongTukes bruk av Finger-verktøyet hadde tidligere blitt dokumentert i desember 2025.

Den nedlastede nyttelasten var en PowerShell-kommando som hentet et ekstra skript, som skjulte innholdet gjennom flere lag med Base64-koding og XOR-operasjoner, noe som gjenspeilet teknikker som lenge har vært assosiert med SocGholish-kampanjer.

Etter dekryptering skannet skriptet aktive prosesser for mer enn 50 kjente analyseverktøy og indikatorer for virtuelle maskiner, og avsluttet umiddelbart hvis noen ble funnet. Det evaluerte også om systemet var domenetilknyttet eller en del av en frittstående arbeidsgruppe, og sendte deretter en HTTP POST-forespørsel tilbake til den samme serveren som inneholdt:

  • En liste over installerte antivirusprodukter
  • Et vertsklassifiseringsflagg: 'ABCD111' for frittstående systemer og 'BCDA222' for domenetilknyttede maskiner

ModeloRAT: Skreddersydd for bedriftsmiljøer

Hvis det infiserte systemet ble identifisert som domenetilknyttet, kulminerte infeksjonskjeden i utrullingen av ModeloRAT, en Python-basert Windows-trojaner for fjerntilgang. Skadevaren kommuniserer via RC4-krypterte kanaler med kommando- og kontrollservere på 170.168.103[.]208 eller 158.247.252[.]178.

ModeloRAT etablerer persistens gjennom Windows-registeret og støtter utførelse av binærfiler, DLL-er, Python-skript og PowerShell-kommandoer. Den inkluderer også innebygde livssykluskontroller, som lar operatører oppdatere implantatet eksternt eller avslutte det ved hjelp av dedikerte kommandoer.

RAT implementerer en flerlags beaconing-strategi designet for å unngå atferdsdeteksjon:

  • Under normale forhold sender den et signal hvert 300. sekund.
  • Når serveren setter den i aktiv modus, foretar den aggressiv avspørring med et konfigurerbart intervall, med standardinnstilling på 150 millisekunder.
  • Etter seks kommunikasjonsfeil på rad, går den tilbake til intervaller på 900 sekunder.
  • Etter én enkelt feil forsøker den å koble til på nytt etter 150 sekunder før den går tilbake til standard tid.

Denne adaptive logikken lar ModeloRAT blande seg inn i nettverkstrafikken, samtidig som den støtter rask operatørinteraksjon når det er nødvendig.

En tosporet infeksjonsstrategi

Selv om utrullingen av ModeloRAT på domenetilknyttede systemer sterkt indikerer et fokus på bedriftsmiljøer og dypere nettverkspenetrasjon, ble frittstående maskiner rutet gjennom en annen flertrinnssekvens. I disse tilfellene svarte kommando- og kontrollserveren til slutt med meldingen «TEST NYTTELAST!!!!», noe som tyder på at denne parallelle infeksjonsveien fortsatt kan være under utvikling.

Det større bildet: Sosial manipulering gjennom design

KongTukes CrashFix-kampanje illustrerer hvordan moderne trusselaktører foredler sosial manipulering til en fullstendig konstruert kontrollsløyfe. Ved å utgi seg for å være et pålitelig åpen kildekode-prosjekt, med vilje destabilisere nettleseren og deretter presentere en forfalsket løsning, forvandlet angriperne brukerfrustrasjon til samsvar.

Operasjonen demonstrerer hvordan nettleserutvidelser, pålitelige markedsplasser og verktøy som lever utenfor jorden kan smeltes sammen til en robust infeksjonskjede, en som ikke vedvarer bare gjennom sniking, men ved å gjentatte ganger manipulere offeret til å utløse angrepet selv.

Trender

Mest sett

Laster inn...