Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware CrashFix Chrome-extensie

CrashFix Chrome-extensie

Tegen Mezo in Malware, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Onderzoekers op het gebied van cyberbeveiliging hebben een actieve campagne ontdekt, genaamd KongTuke, die misbruik maakt van een kwaadaardige Google Chrome-extensie die zich voordoet als een advertentieblokker. De extensie is ontworpen om de browser opzettelijk te laten crashen en slachtoffers te manipuleren om door de aanvaller aangestuurde commando's uit te voeren via social engineering in de stijl van ClickFix. Deze nieuwste variant van de techniek heeft de codenaam CrashFix en verspreidt uiteindelijk een voorheen ongedocumenteerde remote access trojan genaamd ModeloRAT.

KongTuke, ook bekend onder de namen 404 TDS, Chaya_002, LandUpdate808 en TAG-124, functioneert als een verkeersdistributiesysteem (TDS). Het brengt de omgevingen van slachtoffers in kaart en leidt geselecteerde doelwitten om naar infrastructuur voor de levering van kwaadaardige payloads. De toegang tot geïnfecteerde hosts wordt vervolgens verkocht of overgedragen aan andere cybercriminelen, waaronder ransomware-operators, om secundaire aanvallen mogelijk te maken.

Dreigingsgroepen die eerder gebruik maakten van de TAG-124-infrastructuur zijn onder andere de ransomware Rhysida, Interlock en TA866 (Asylum Ambuscade). Volgens een rapport uit april 2025 is de activiteit ook in verband gebracht met SocGholish en D3F@ck Loader.

Van Chrome Web Store naar Compromise

In de gedocumenteerde infectieketen zochten slachtoffers online naar een advertentieblokker en kregen ze een kwaadaardige advertentie te zien die hen doorverwees naar een browserextensie die rechtstreeks in de officiële Chrome Web Store werd aangeboden.

De extensie, genaamd 'NexShield – Advanced Web Guardian' (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi), presenteerde zichzelf als een 'ultiem privacyschild' dat beweerde advertenties, trackers, malware en opdringerige webinhoud te blokkeren. Voordat de extensie werd verwijderd, was deze minstens 5.000 keer gedownload.

Technisch gezien was de extensie een bijna identieke kloon van een legitieme advertentieblokkeringsextensie. Onder de vertrouwde interface was deze echter ontworpen om een verzonnen beveiligingswaarschuwing weer te geven met de melding dat de browser 'abnormaal was gestopt' en gebruikers aan te sporen een nepscan te starten die zogenaamd aan Microsoft Edge was gekoppeld.

Een crisis in scène zetten om vertrouwen te creëren

Als de gebruiker op 'scan uitvoeren' klikte, toonde de extensie instructies om het Windows 'Uitvoeren'-dialoogvenster te openen en een opdracht uit te voeren die al naar het klembord was gekopieerd. Zodra dit gebeurde, startte de extensie opzettelijk een denial-of-service-aanval die via een oneindige lus eindeloze poortverbindingen creëerde, waarbij dezelfde stap tot wel een miljard keer werd herhaald.

Deze uitputting van resources leidde tot extreem geheugenverbruik, waardoor de browser traag en niet-responsief werd en uiteindelijk crashte. De opzettelijke instabiliteit was geen bijeffect, maar de aanleiding voor de social engineering-tactiek.

Na installatie verstuurde de extensie een unieke identificatiecode naar een door de aanvaller beheerde server op nexsnield[.]com, waardoor het slachtoffer kon worden getraceerd. De kwaadwillige activiteit werd 60 minuten na installatie uitgesteld, waarna deze elke 10 minuten opnieuw werd uitgevoerd.

Voordat de DoS-aanval werd uitgevoerd, sloeg de extensie een tijdstempel op in het lokale geheugen. Wanneer de gebruiker de browser geforceerd afsloot en opnieuw opstartte, controleerde een opstarthandler of deze waarde aanwezig was. Indien aanwezig, verscheen de CrashFix-pop-up en werd vervolgens de tijdstempel verwijderd, waardoor de illusie werd gewekt dat de waarschuwing een gevolg was van de crash in plaats van de oorzaak ervan.

De DoS-aanval werd pas uitgevoerd als aan drie voorwaarden was voldaan: de UUID van het slachtoffer bestond, de command-and-controlserver reageerde succesvol en de pop-up was minstens één keer geopend en gesloten. Deze logica suggereert sterk dat de beheerders de interactie van de gebruiker wilden bevestigen voordat ze de payload-loop volledig activeerden.

Het resultaat was een zichzelf in stand houdende cyclus. Elke geforceerde herstart na een vastloop activeerde de valse waarschuwing opnieuw. Als de extensie geïnstalleerd bleef, begon het vastloopgedrag na tien minuten opnieuw.

Verhulling, anti-analyse en leven van het land.

De nep-pop-up implementeerde verschillende anti-analysemaatregelen, zoals het uitschakelen van contextmenu's die via de rechtermuisknop verschijnen en het blokkeren van sneltoetsen die normaal gesproken worden gebruikt om toegang te krijgen tot ontwikkelaarstools.

Het CrashFix-commando misbruikte het legitieme Windows-hulpprogramma finger.exe om een secundaire payload op te halen en uit te voeren vanaf 199.217.98[.]108. Het gebruik van het Finger-hulpprogramma door KongTuke was eerder gedocumenteerd in december 2025.

De gedownloade payload was een PowerShell-opdracht die een extra script ophaalde, waarvan de inhoud verborgen zat achter meerdere lagen Base64-codering en XOR-bewerkingen, technieken die al lang geassocieerd worden met SocGholish-campagnes.

Na decodering scande het script actieve processen op meer dan 50 bekende analysetools en indicatoren voor virtuele machines en stopte onmiddellijk als er iets dergelijks werd gevonden. Het controleerde ook of het systeem lid was van een domein of deel uitmaakte van een zelfstandige werkgroep, waarna het een HTTP POST-verzoek terugstuurde naar dezelfde server met de volgende inhoud:

  • Een lijst met geïnstalleerde antivirusproducten
  • Een hostclassificatievlag: 'ABCD111' voor standalonesystemen en 'BCDA222' voor machines die lid zijn van een domein.

ModeloRAT: Speciaal ontwikkeld voor bedrijfsomgevingen

Als het geïnfecteerde systeem als onderdeel van een domein werd geïdentificeerd, eindigde de infectieketen met de implementatie van ModeloRAT, een op Python gebaseerde Windows-trojan voor toegang op afstand. De malware communiceert via RC4-versleutelde kanalen met command-and-controlservers op 170.168.103[.]208 of 158.247.252[.]178.

ModeloRAT zorgt voor persistentie via het Windows-register en ondersteunt de uitvoering van binaire bestanden, DLL's, Python-scripts en PowerShell-opdrachten. Het bevat ook ingebouwde levenscyclusbeheerfuncties, waarmee beheerders de implant op afstand kunnen bijwerken of beëindigen met behulp van specifieke opdrachten.

De RAT implementeert een meerlaagse bakenstrategie die is ontworpen om gedragsdetectie te omzeilen:

  • Onder normale omstandigheden zendt het elke 300 seconden een signaal uit.
  • Wanneer de server de actieve modus inschakelt, voert het apparaat met een instelbaar interval, standaard 150 milliseconden, een grondige controle uit.
  • Na zes opeenvolgende communicatiestoringen wordt de interval tussen de verbindingen teruggebracht tot 900 seconden.
  • Na een eenmalige storing probeert het systeem na 150 seconden opnieuw verbinding te maken, waarna de standaard timing weer van kracht wordt.

Deze adaptieve logica zorgt ervoor dat ModeloRAT naadloos opgaat in het netwerkverkeer, terwijl het tegelijkertijd snelle interactie met de operator mogelijk maakt wanneer dat nodig is.

Een tweeledige infectiestrategie

Hoewel de inzet van ModeloRAT op systemen die aan een domein zijn gekoppeld sterk wijst op een focus op bedrijfsomgevingen en diepere netwerkpenetratie, werden losstaande machines via een andere, meerstapssequentie geleid. In die gevallen reageerde de command-and-controlserver uiteindelijk met het bericht 'TEST PAYLOAD!!!!', wat suggereert dat dit parallelle infectiepad mogelijk nog in ontwikkeling is.

Het grotere plaatje: sociale manipulatie door ontwerp

De CrashFix-campagne van KongTuke illustreert hoe moderne cybercriminelen social engineering verfijnen tot een volledig gecontroleerd systeem. Door zich voor te doen als een betrouwbaar open-sourceproject, de browser opzettelijk te destabiliseren en vervolgens een nep-oplossing aan te bieden, wisten de aanvallers de frustratie van gebruikers om te zetten in gehoorzaamheid.

De operatie laat zien hoe browserextensies, vertrouwde marktplaatsen en tools voor zelfvoorzienend leven kunnen worden samengevoegd tot een hardnekkige infectieketen, die niet alleen standhoudt door onopvallendheid, maar ook door het slachtoffer herhaaldelijk te manipuleren om de aanval zelf te activeren.

Trending

Meest bekeken

Bezig met laden...