Rozszerzenie CrashFix Chrome
Badacze cyberbezpieczeństwa odkryli aktywną kampanię o nazwie KongTuke, która wykorzystuje złośliwe rozszerzenie przeglądarki Google Chrome podszywające się pod bloker reklam. Rozszerzenie zostało zaprojektowane tak, aby celowo powodować awarię przeglądarki i manipulować ofiarami, zmuszając je do wykonywania poleceń kontrolowanych przez atakującego za pomocą socjotechniki w stylu ClickFix. Ta najnowsza wersja tej techniki otrzymała nazwę kodową CrashFix i ostatecznie dostarcza nieudokumentowanego wcześniej trojana zdalnego dostępu znanego jako ModeloRAT.
KongTuke, śledzony również jako 404 TDS, Chaya_002, LandUpdate808 i TAG-124, działa jako system dystrybucji ruchu (TDS). Profiluje środowiska ofiar i przekierowuje wybrane cele do infrastruktury dostarczającej szkodliwe oprogramowanie. Dostęp do zainfekowanych hostów jest następnie sprzedawany lub przekazywany innym podmiotom stanowiącym zagrożenie, w tym operatorom ransomware, co umożliwia ataki wtórne.
Do grup zagrożeń, które wcześniej obserwowano, wykorzystujących infrastrukturę TAG-124, należą ransomware Rhysida, ransomware Interlock i TA866 (Asylum Ambuscade). Według raportu z kwietnia 2025 roku, aktywność ta została również powiązana z SocGholish i D3F@ck Loader.
Spis treści
Od sklepu Chrome Web Store do kompromisu
W udokumentowanym łańcuchu infekcji ofiary szukały w Internecie programu blokującego reklamy i otrzymywały złośliwą reklamę, która przekierowywała je do rozszerzenia przeglądarki dostępnego bezpośrednio w oficjalnym sklepie Chrome Web Store.
Rozszerzenie o nazwie „NexShield – Advanced Web Guardian” (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi) przedstawiało się jako „najlepsza tarcza prywatności”, która rzekomo blokowała reklamy, moduły śledzące, złośliwe oprogramowanie i natrętne treści internetowe. Przed usunięciem zostało pobrane co najmniej 5000 razy.
Technicznie rzecz biorąc, rozszerzenie było niemal identycznym klonem legalnego rozszerzenia blokującego reklamy. Pod znanym interfejsem kryło się jednak fałszywe ostrzeżenie bezpieczeństwa informujące, że przeglądarka „zatrzymała się nieprawidłowo” i zachęcające użytkowników do uruchomienia fałszywego skanowania rzekomo powiązanego z Microsoft Edge.
Inżynieria katastrofy w celu wytworzenia zaufania
Po kliknięciu przez użytkownika przycisku uruchomienia skanowania rozszerzenie wyświetlało instrukcje otwarcia okna dialogowego Uruchom systemu Windows i wykonania polecenia skopiowanego wcześniej do schowka. W takiej sytuacji rozszerzenie celowo uruchamiało procedurę odmowy usługi (DSO), która tworzyła nieskończone połączenia z portami w czasie wykonywania w nieskończonej pętli, powtarzając ten sam krok nawet miliard razy.
To wyczerpanie zasobów spowodowało ekstremalne zużycie pamięci, spowalniając przeglądarkę, powodując jej brak reakcji i ostatecznie powodując awarię. Celowa niestabilność nie była efektem ubocznym, lecz socjotechniką.
Po zainstalowaniu rozszerzenie przesyłało unikalny identyfikator do serwera kontrolowanego przez atakującego pod adresem nexsnield[.]com, umożliwiając śledzenie ofiary. Aktywność szkodliwa była opóźniana przez 60 minut po instalacji, po czym uruchamiała się ponownie co 10 minut.
Przed uruchomieniem procedury DoS rozszerzenie zapisywało znacznik czasu w pamięci lokalnej. Gdy użytkownik wymusił zamknięcie przeglądarki i ponownie ją uruchomił, procedura obsługi uruchamiania sprawdzała tę wartość. Jeśli była obecna, pojawiało się okno dialogowe CrashFix, a następnie usuwało znacznik czasu, stwarzając iluzję, że ostrzeżenie było konsekwencją awarii, a nie jej przyczyną.
Procedura DoS była wykonywana tylko wtedy, gdy spełnione były trzy warunki: istniał identyfikator UUID ofiary, serwer poleceń i kontroli odpowiedział pomyślnie oraz okno podręczne zostało otwarte i zamknięte co najmniej raz. Ta logika zdecydowanie sugeruje, że operatorzy chcieli potwierdzić interakcję użytkownika przed pełną aktywacją pętli danych.
W rezultacie powstał samopodtrzymujący się cykl. Każde wymuszone ponowne uruchomienie po zawieszeniu ponownie uruchamiało fałszywe ostrzeżenie. Jeśli rozszerzenie pozostało zainstalowane, błąd powracał po dziesięciu minutach.
Zaciemnianie, antyanaliza i życie z ziemi
Fałszywe okno pop-up zawierało kilka zabezpieczeń zapobiegających analizie, m.in. wyłączało menu kontekstowe dostępne po kliknięciu prawym przyciskiem myszy i blokowało skróty klawiaturowe, z których zazwyczaj korzysta się w celu uzyskania dostępu do narzędzi programistycznych.
Polecenie CrashFix wykorzystało legalne narzędzie systemu Windows finger.exe do pobrania i wykonania ładunku wtórnego z adresu 199.217.98[.]108. Użycie narzędzia Finger przez KongTuke'a zostało udokumentowane wcześniej, w grudniu 2025 r.
Pobrany ładunek był poleceniem programu PowerShell, które pobierało dodatkowy skrypt, który ukrywał swoją zawartość za pomocą wielu warstw kodowania Base64 i operacji XOR, co przypominało techniki od dawna kojarzone z kampaniami SocGholish.
Po odszyfrowaniu skrypt przeskanował aktywne procesy pod kątem ponad 50 znanych narzędzi analitycznych i wskaźników maszyn wirtualnych i natychmiast zakończył działanie, jeśli takie wykrył. Ocenił również, czy system jest przyłączony do domeny, czy też należy do samodzielnej grupy roboczej, a następnie wysłał żądanie HTTP POST z powrotem do tego samego serwera, zawierające:
- Lista zainstalowanych produktów antywirusowych
- Flaga klasyfikacji hosta: „ABCD111” dla systemów autonomicznych i „BCDA222” dla maszyn przyłączonych do domeny
ModeloRAT: Dostosowany do środowisk korporacyjnych
Jeśli zainfekowany system został zidentyfikowany jako przyłączony do domeny, łańcuch infekcji osiągnął punkt kulminacyjny w postaci wdrożenia ModeloRAT, trojana zdalnego dostępu dla systemu Windows opartego na Pythonie. Szkodliwe oprogramowanie komunikuje się za pośrednictwem kanałów szyfrowanych RC4 z serwerami dowodzenia i kontroli pod adresem 170.168.103[.]208 lub 158.247.252[.]178.
ModeloRAT ustanawia trwałość poprzez rejestr systemu Windows i obsługuje wykonywanie plików binarnych, bibliotek DLL, skryptów Pythona i poleceń programu PowerShell. Zawiera również wbudowane mechanizmy kontroli cyklu życia, umożliwiające operatorom zdalną aktualizację implantu lub jego zamknięcie za pomocą dedykowanych poleceń.
RAT wdraża wielostopniową strategię sygnalizacji, mającą na celu uniknięcie wykrycia behawioralnego:
- W normalnych warunkach sygnał jest wysyłany co 300 sekund.
- Po przełączeniu serwera w tryb aktywny, urządzenie przeprowadza agresywne sondowanie w konfigurowalnych odstępach czasu, domyślnie co 150 milisekund.
- Po sześciu kolejnych awariach komunikacji następuje wycofywanie się do 900-sekundowych interwałów.
- Po pojedynczej awarii następuje próba ponownego połączenia po 150 sekundach, po czym następuje powrót do standardowego czasu połączenia.
Dzięki tej adaptacyjnej logice ModeloRAT może wtapiać się w ruch sieciowy, a jednocześnie umożliwiać szybką interakcję operatora, gdy jest to wymagane.
Dwutorowa strategia infekcji
Chociaż wdrożenie ModeloRAT w systemach przyłączonych do domeny wyraźnie wskazuje na koncentrację na środowiskach korporacyjnych i głębszą penetrację sieci, samodzielne maszyny były kierowane przez inną, wieloetapową sekwencję. W takich przypadkach serwer dowodzenia i kontroli ostatecznie odpowiadał komunikatem „TEST PAYLOAD!!!!”, co sugeruje, że ta równoległa ścieżka infekcji może być nadal w fazie rozwoju.
Szerszy obraz: inżynieria społeczna w projektowaniu
Kampania CrashFix firmy KongTuke ilustruje, jak współcześni cyberprzestępcy przekształcają socjotechnikę w w pełni zaawansowaną pętlę kontroli. Podszywając się pod zaufany projekt open source, celowo destabilizując przeglądarkę, a następnie prezentując fałszywą poprawkę, atakujący przekształcili frustrację użytkowników w uległość.
Operacja ta pokazuje, w jaki sposób rozszerzenia przeglądarek, zaufane sklepy i narzędzia do zarabiania pieniędzy można połączyć w odporny łańcuch infekcji, który przetrwa nie tylko dzięki ukryciu, ale także dzięki wielokrotnemu manipulowaniu ofiarą w celu wywołania ataku.
