क्र्यासफिक्स क्रोम एक्सटेन्सन

साइबर सुरक्षा अनुसन्धानकर्ताहरूले KongTuke भनिने एक सक्रिय अभियान पत्ता लगाएका छन् जसले विज्ञापन ब्लकरको रूपमा प्रस्तुत गर्दै दुर्भावनापूर्ण गुगल क्रोम एक्सटेन्सनको दुरुपयोग गर्दछ। यो एक्सटेन्सन जानाजानी ब्राउजर क्र्यास गर्न र क्लिकफिक्स-शैली सामाजिक इन्जिनियरिङ मार्फत आक्रमणकारी-नियन्त्रित आदेशहरू कार्यान्वयन गर्न पीडितहरूलाई हेरफेर गर्न इन्जिनियर गरिएको छ। प्रविधिको यो पछिल्लो विकासलाई CrashFix कोडनाम दिइएको छ र अन्ततः ModeloRAT भनेर चिनिने पहिले कागजात नगरिएको रिमोट एक्सेस ट्रोजन प्रदान गर्दछ।

४०४ TDS, Chaya_002, LandUpdate808, र TAG-124 को रूपमा पनि ट्र्याक गरिएको KongTuke ले ट्राफिक वितरण प्रणाली (TDS) को रूपमा काम गर्छ। यसले पीडित वातावरणको प्रोफाइल बनाउँछ र चयन गरिएका लक्ष्यहरूलाई दुर्भावनापूर्ण पेलोड डेलिभरी पूर्वाधारमा रिडिरेक्ट गर्छ। संक्रमित होस्टहरूमा पहुँच त्यसपछि माध्यमिक-चरण सम्झौताहरू सक्षम पार्न ransomware अपरेटरहरू सहित अन्य खतरा अभिनेताहरूलाई बेचिन्छ वा हस्तान्तरण गरिन्छ।

TAG-१२४ पूर्वाधारको फाइदा उठाउँदै पहिले अवलोकन गरिएका धम्की समूहहरूमा Rhysida ransomware, Interlock ransomware, र TA866 (Asylum Ambuscade) समावेश छन्। अप्रिल २०२५ को रिपोर्ट अनुसार, यो गतिविधि SocGholish र D3F@ck लोडरसँग पनि जोडिएको छ।

क्रोम वेब स्टोरदेखि सम्झौतासम्म

दस्तावेजीकृत संक्रमण शृङ्खलामा, पीडितहरूले विज्ञापन ब्लकरको लागि अनलाइन खोजी गरे र तिनीहरूलाई आधिकारिक क्रोम वेब स्टोरमा सिधै होस्ट गरिएको ब्राउजर एक्सटेन्सनमा रिडिरेक्ट गर्ने दुर्भावनापूर्ण विज्ञापन दिइयो।

'NexShield - Advanced Web Guardian' (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi) नामक एक्सटेन्सनले विज्ञापन, ट्र्याकर, मालवेयर र घुसपैठ गर्ने वेब सामग्री ब्लक गर्ने दाबी गर्दै आफूलाई 'अन्तिम गोपनीयता ढाल' को रूपमा प्रस्तुत गर्‍यो। हटाउनु अघि, यसले कम्तिमा ५,००० डाउनलोडहरू जम्मा गर्‍यो।

प्राविधिक रूपमा, एक्सटेन्सन वैध विज्ञापन-ब्लकिङ एक्सटेन्सनको लगभग उस्तै क्लोन थियो। यद्यपि, परिचित इन्टरफेस मुनि, यो ब्राउजर 'असामान्य रूपमा रोकिएको' र प्रयोगकर्ताहरूलाई माइक्रोसफ्ट एजसँग जोडिएको नक्कली स्क्यान सुरु गर्न प्रेरित गर्ने बनावटी सुरक्षा चेतावनी प्रदर्शन गर्न डिजाइन गरिएको थियो।

निर्माण ट्रस्टलाई क्र्यासको रूपमा इन्जिनियर गर्दै

यदि प्रयोगकर्ताले स्क्यान चलाउन क्लिक गर्यो भने, एक्सटेन्सनले विन्डोज रन संवाद खोल्न र क्लिपबोर्डमा पहिले नै प्रतिलिपि गरिएको आदेश कार्यान्वयन गर्न निर्देशनहरू प्रदर्शन गर्‍यो। यो हुने बित्तिकै, एक्सटेन्सनले जानाजानी सेवा अस्वीकार गर्ने दिनचर्या सुरु गर्‍यो जसले अनन्त लूप मार्फत अनन्त रनटाइम पोर्ट जडानहरू सिर्जना गर्‍यो, उही चरण एक अर्ब पटकसम्म दोहोर्याउँदै।

यो स्रोतको कमीले अत्यधिक मेमोरी खपत निम्त्यायो, जसले गर्दा ब्राउजर ढिलो, अनुत्तरदायी भयो र अन्ततः क्र्यास भयो। जानाजानी गरिएको अस्थिरता कुनै साइड इफेक्ट थिएन, यो सामाजिक इन्जिनियरिङ ट्रिगर थियो।

एकपटक स्थापना भएपछि, एक्सटेन्सनले nexsnield[.]com मा आक्रमणकारी-नियन्त्रित सर्भरमा एक अद्वितीय पहिचानकर्ता प्रसारण गर्‍यो, जसले पीडित ट्र्याकिङ सक्षम बनायो। स्थापना पछि ६० मिनेटको लागि दुर्भावनापूर्ण गतिविधि ढिलाइ भयो, त्यसपछि यो प्रत्येक १० मिनेटमा पुन: कार्यान्वयन भयो।

DoS रुटिन सुरु गर्नु अघि, एक्सटेन्सनले स्थानीय भण्डारणमा टाइमस्ट्याम्प भण्डारण गर्‍यो। जब प्रयोगकर्ताले जबरजस्ती छोडेर ब्राउजर पुन: सुरु गर्‍यो, एक स्टार्टअप ह्यान्डलरले यो मानको लागि जाँच गर्‍यो। यदि उपस्थित भएमा, CrashFix पप-अप देखा पर्‍यो र त्यसपछि टाइमस्ट्याम्प मेटाइयो, जसले गर्दा चेतावनी क्र्यासको कारण भन्दा पनि यसको परिणाम हो भन्ने भ्रम सिर्जना भयो।

तीन सर्तहरू पूरा भएको बेला मात्र DoS दिनचर्या कार्यान्वयन गरिएको थियो: पीडित UUID अवस्थित थियो, कमाण्ड-एन्ड-नियन्त्रण सर्भरले सफलतापूर्वक प्रतिक्रिया दियो, र पप-अप कम्तिमा एक पटक खोलिएको र बन्द गरिएको थियो। यो तर्कले पेलोड लूप पूर्ण रूपमा सक्रिय गर्नु अघि अपरेटरहरूले प्रयोगकर्ता अन्तरक्रिया पुष्टि गर्न चाहन्थे भन्ने कुरालाई दृढतापूर्वक सुझाव दिन्छ।

परिणामस्वरूप आत्मनिर्भर चक्र सिर्जना भयो। फ्रिज पछि प्रत्येक जबरजस्ती पुन: सुरु गर्दा नक्कली चेतावनी पुन: सुरु हुन्थ्यो। यदि एक्सटेन्सन स्थापना नै रह्यो भने, दस मिनेट पछि क्र्यास व्यवहार पुनः सुरु हुन्थ्यो।

अस्पष्टता, विश्लेषण विरोधी, र भूमि बाहिर बस्ने

नक्कली पप-अपले धेरै एन्टी-विश्लेषण उपायहरू लागू गर्‍यो, दायाँ-क्लिक सन्दर्भ मेनुहरू असक्षम पार्दै र विकासकर्ता उपकरणहरू पहुँच गर्न सामान्यतया प्रयोग हुने किबोर्ड सर्टकटहरू रोक्दै।

CrashFix कमाण्डले १९९.२१७.९८[.]१०८ बाट माध्यमिक-चरण पेलोड पुन: प्राप्त गर्न र कार्यान्वयन गर्न वैध Windows उपयोगिता finger.exe को दुरुपयोग गर्‍यो। KongTuke को फिंगर उपयोगिताको प्रयोग पहिले डिसेम्बर २०२५ मा दस्तावेज गरिएको थियो।

डाउनलोड गरिएको पेलोड एक PowerShell कमाण्ड थियो जसले अतिरिक्त स्क्रिप्ट ल्यायो, जसले Base64 एन्कोडिङ र XOR अपरेशनहरूको धेरै तहहरू मार्फत यसको सामग्री लुकाएको थियो, जसले लामो समयदेखि SocGholish अभियानहरूसँग सम्बन्धित प्रविधिहरू प्रतिध्वनि गर्‍यो।

एकपटक डिक्रिप्ट भएपछि, स्क्रिप्टले ५० भन्दा बढी ज्ञात विश्लेषण उपकरणहरू र भर्चुअल मेसिन सूचकहरूको लागि सक्रिय प्रक्रियाहरू स्क्यान गर्‍यो र यदि कुनै फेला पर्यो भने तुरुन्तै समाप्त गरियो। यसले प्रणाली डोमेन-जोडिएको थियो वा स्ट्यान्डअलोन कार्यसमूहको भाग थियो कि थिएन भनेर पनि मूल्याङ्कन गर्‍यो, त्यसपछि उही सर्भरमा HTTP POST अनुरोध फिर्ता पठायो जसमा समावेश थियो:

• स्थापित एन्टिभाइरस उत्पादनहरूको सूची
• होस्ट वर्गीकरण झण्डा: स्ट्यान्डअलोन प्रणालीहरूको लागि 'ABCD111' र डोमेन-जोडिएका मेसिनहरूको लागि 'BCDA222'।

ModeloRAT: कर्पोरेट वातावरणको लागि तयार पारिएको

यदि संक्रमित प्रणालीलाई डोमेन-जोडिएको रूपमा पहिचान गरिएको थियो भने, संक्रमण शृङ्खला ModeloRAT, पाइथन-आधारित विन्डोज रिमोट एक्सेस ट्रोजनको तैनातीमा परिणत भयो। मालवेयरले १७०.१६८.१०३[.]२०८ वा १५८.२४७.२५२[.]१७८ मा कमाण्ड-एन्ड-कन्ट्रोल सर्भरहरूसँग RC4-इन्क्रिप्टेड च्यानलहरू मार्फत सञ्चार गर्दछ।

ModeloRAT ले Windows Registry मार्फत स्थिरता स्थापित गर्दछ र बाइनरीहरू, DLLs, Python स्क्रिप्टहरू, र PowerShell आदेशहरूको कार्यान्वयनलाई समर्थन गर्दछ। यसमा निर्मित जीवनचक्र नियन्त्रणहरू पनि समावेश छन्, जसले अपरेटरहरूलाई टाढाबाट इम्प्लान्ट अद्यावधिक गर्न वा समर्पित आदेशहरू प्रयोग गरेर यसलाई समाप्त गर्न अनुमति दिन्छ।

RAT ले व्यवहारिक पहिचानबाट बच्नको लागि डिजाइन गरिएको बहु-स्तरीय बीकनिङ रणनीति लागू गर्दछ:

• सामान्य अवस्थामा, यो हरेक ३०० सेकेन्डमा प्रकाश दिन्छ।
• सर्भरले सक्रिय मोडमा स्विच गर्दा, यसले १५० मिलिसेकेन्डमा पूर्वनिर्धारित रूपमा कन्फिगर योग्य अन्तरालमा आक्रामक रूपमा मतदान गर्छ।
• लगातार छ पटक सञ्चार विफलता पछि, यो ९००-सेकेन्ड अन्तरालमा फिर्ता हुन्छ।
• एक पटकको विफलता पछि, यसले मानक समयमा फर्कनु अघि १५० सेकेन्ड पछि पुन: जडान गर्ने प्रयास गर्छ।

यो अनुकूली तर्कले ModeloRAT लाई नेटवर्क ट्राफिकमा मिसिन अनुमति दिन्छ र आवश्यक पर्दा द्रुत अपरेटर अन्तरक्रियालाई समर्थन गर्दछ।

दुई-ट्र्याक संक्रमण रणनीति

डोमेन-जोडिएका प्रणालीहरूमा ModeloRAT को तैनातीले कर्पोरेट वातावरण र गहिरो नेटवर्क प्रवेशमा ध्यान केन्द्रित गर्ने कुरालाई दृढतापूर्वक संकेत गर्छ, स्ट्यान्डअलोन मेसिनहरूलाई फरक बहु-चरण अनुक्रम मार्फत पठाइयो। ती अवस्थाहरूमा, कमाण्ड-एन्ड-कन्ट्रोल सर्भरले अन्ततः 'TEST PAYLOAD!!!!' सन्देशको साथ प्रतिक्रिया दियो, जसले सुझाव दिन्छ कि यो समानान्तर संक्रमण मार्ग अझै विकास अन्तर्गत हुन सक्छ।

ठूलो तस्वीर: डिजाइन द्वारा सामाजिक इन्जिनियरिङ

KongTuke को CrashFix अभियानले आधुनिक खतरा अभिनेताहरूले सामाजिक इन्जिनियरिङलाई पूर्ण रूपमा इन्जिनियर गरिएको नियन्त्रण लूपमा कसरी परिष्कृत गरिरहेका छन् भनेर चित्रण गर्दछ। एक विश्वसनीय खुला स्रोत परियोजनाको नक्कल गरेर, जानाजानी ब्राउजरलाई अस्थिर बनाएर, र त्यसपछि नक्कली समाधान प्रस्तुत गरेर, आक्रमणकारीहरूले प्रयोगकर्ता निराशालाई अनुपालनमा परिणत गरे।

यो अपरेशनले ब्राउजर एक्सटेन्सनहरू, विश्वसनीय बजारहरू, र भूमि बाहिर बस्ने उपकरणहरूलाई कसरी एक लचिलो संक्रमण श्रृंखलामा फ्यूज गर्न सकिन्छ भनेर देखाउँछ, जुन केवल चोरीको माध्यमबाट मात्र होइन, तर पीडितलाई आफैं आक्रमण गर्न बारम्बार हेरफेर गरेर पनि रहन्छ।