Extensia CrashFix pentru Chrome

Cercetătorii în domeniul securității cibernetice au descoperit o campanie activă, numită KongTuke, care abuzează de o extensie malițioasă pentru Google Chrome, dându-se drept un blocator de reclame. Extensia este concepută pentru a bloca în mod deliberat browserul și a manipula victimele să execute comenzi controlate de atacatori prin inginerie socială în stil ClickFix. Această ultimă evoluție a tehnicii a fost denumită în cod CrashFix și produce în cele din urmă un troian de acces la distanță nedocumentat anterior, cunoscut sub numele de ModeloRAT.

KongTuke, urmărit și ca 404 TDS, Chaya_002, LandUpdate808 și TAG-124, funcționează ca un sistem de distribuție a traficului (TDS). Acesta profilează mediile victimelor și redirecționează țintele selectate către o infrastructură malițioasă de livrare a sarcinilor utile. Accesul la gazdele infectate este apoi vândut sau transferat către alți actori amenințători, inclusiv operatori de ransomware, pentru a permite compromiteri în stadiul secundar.

Printre grupurile de amenințare observate anterior care utilizează infrastructura TAG-124 se numără ransomware-ul Rhysida, Interlock și TA866 (Asylum Ambuscade). Activitatea a fost, de asemenea, asociată cu SocGholish și D3F@ck Loader, conform unui raport din aprilie 2025.

De la Magazinul Web Chrome la Compromis

În lanțul de infectare documentat, victimele au căutat online un blocator de reclame și li s-a afișat o reclamă rău intenționată care le-a redirecționat către o extensie de browser găzduită direct în Magazinul web oficial Chrome.

Extensia, numită „NexShield – Advanced Web Guardian” (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi), se prezenta ca un „scut suprem de confidențialitate”, pretinzând că blochează reclamele, trackerele, programele malware și conținutul web intruziv. Înainte de eliminarea sa, acumulase cel puțin 5.000 de descărcări.

Tehnic vorbind, extensia era o clonă aproape identică a unei extensii legitime de blocare a reclamelor. Sub interfața familiară, însă, era concepută să afișeze un avertisment de securitate fabricat care preciza că browserul s-a „oprit anormal” și îi îndemna pe utilizatori să inițieze o scanare falsă, presupus legată de Microsoft Edge.

Ingineria unei prăbușiri pentru a produce încredere

Dacă utilizatorul făcea clic pentru a rula scanarea, extensia afișa instrucțiuni pentru a deschide caseta de dialog Executare Windows și a executa o comandă care fusese deja copiată în clipboard. Imediat ce se întâmpla acest lucru, extensia lansa intenționat o rutină de denial-of-service care crea conexiuni de port runtime nelimitate printr-o buclă infinită, repetând același pas de până la un miliard de ori.

Această epuizare a resurselor a cauzat un consum extrem de memorie, ceea ce a făcut ca browserul să fie lent, să nu răspundă și, în cele din urmă, să se blocheze. Instabilitatea deliberată nu a fost un efect secundar, ci un declanșator al ingineriei sociale.

Odată instalată, extensia transmitea un identificator unic către un server controlat de atacator la adresa nexsnield[.]com, permițând urmărirea victimelor. Activitatea rău intenționată era întârziată cu 60 de minute după instalare, după care se executa din nou la fiecare 10 minute.

Înainte de lansarea rutinei DoS, extensia stoca o marcă temporală în memoria locală. Când utilizatorul închidea forțat browserul și îl repornea, un handler de pornire verifica această valoare. Dacă era prezentă, apărea fereastra pop-up CrashFix și apoi ștergea marca temporală, creând iluzia că avertismentul era o consecință a blocării, mai degrabă decât cauza acesteia.

Rutina DoS a fost executată doar atunci când au fost îndeplinite trei condiții: UUID-ul victimei exista, serverul de comandă și control a răspuns cu succes și fereastra pop-up a fost deschisă și închisă cel puțin o dată. Această logică sugerează cu tărie că operatorii au dorit să confirme interacțiunea utilizatorului înainte de a activa complet bucla de încărcare utilă.

Rezultatul a fost un ciclu autosustenabil. Fiecare repornire forțată după o blocare a declanșat din nou avertismentul fals. Dacă extensia rămânea instalată, comportamentul de blocare reia după zece minute.

Obfuscare, anti-analiză și trai în afara pământului

Fereastra pop-up falsă a implementat mai multe măsuri anti-analiză, dezactivând meniurile contextuale afișate prin clic dreapta și blocând comenzile rapide de la tastatură utilizate de obicei pentru accesarea instrumentelor pentru dezvoltatori.

Comanda CrashFix a abuzat de utilitarul Windows legitim finger.exe pentru a prelua și executa o sarcină utilă secundară de la adresa 199.217.98[.]108. Utilizarea utilitarului Finger de către KongTuke fusese documentată anterior în decembrie 2025.

Sarcina utilă descărcată era o comandă PowerShell care prelua un script suplimentar, care îi ascundea conținutul prin mai multe straturi de codare Base64 și operații XOR, amintind de tehnici asociate de mult timp cu campaniile SocGholish.

Odată decriptat, scriptul a scanat procesele active pentru peste 50 de instrumente de analiză cunoscute și indicatori de mașini virtuale și s-a oprit imediat dacă a găsit vreunul. De asemenea, a evaluat dacă sistemul era membru al unui domeniu sau făcea parte dintr-un grup de lucru independent, apoi a trimis o solicitare HTTP POST înapoi către același server conținând:

• O listă de produse antivirus instalate
• Un indicator de clasificare a gazdei: „ABCD111” pentru sistemele independente și „BCDA222” pentru mașinile alăturate domeniului

ModeloRAT: Adaptat pentru mediile corporative

Dacă sistemul infectat era identificat ca fiind alăturat unui domeniu, lanțul de infectare culmina cu implementarea ModeloRAT, un troian de acces la distanță pentru Windows bazat pe Python. Malware-ul comunică prin canale criptate RC4 cu serverele de comandă și control la adresele 170.168.103[.]208 sau 158.247.252[.]178.

ModeloRAT stabilește persistența prin intermediul Registrului Windows și acceptă execuția de fișiere binare, DLL-uri, scripturi Python și comenzi PowerShell. De asemenea, include controale integrate ale ciclului de viață, permițând operatorilor să actualizeze implantul de la distanță sau să îl termine folosind comenzi dedicate.

RAT implementează o strategie de beaconing pe mai multe niveluri, concepută pentru a evita detectarea comportamentală:

• În condiții normale, emite o baliză la fiecare 300 de secunde.
• Când este comutat în modul activ de către server, acesta efectuează un sondaj agresiv la un interval configurabil, implicit 150 de milisecunde.
• După șase eșecuri consecutive de comunicare, se oprește la intervale de 900 de secunde.
• În urma unei singure defecțiuni, încearcă reconectarea după 150 de secunde înainte de a reveni la temporizarea standard.

Această logică adaptivă permite ModeloRAT să se integreze în traficul rețelei, susținând în același timp interacțiunea rapidă a operatorilor atunci când este necesar.

O strategie de infectare pe două căi

Deși implementarea ModeloRAT pe sisteme conectate la domenii indică o concentrare puternică pe mediile corporative și o penetrare mai profundă a rețelei, mașinile independente au fost rutate printr-o secvență diferită, în mai multe etape. În aceste cazuri, serverul de comandă și control a răspuns în cele din urmă cu mesajul „TEST PAYLOAD!!!!”, sugerând că această cale paralelă de infectare ar putea fi încă în curs de dezvoltare.

Imaginea de ansamblu: Inginerie socială prin design

Campania CrashFix a KongTuke ilustrează modul în care actorii moderni de amenințare rafinează ingineria socială într-o buclă de control complet proiectată. Prin imitarea unui proiect open-source de încredere, destabilizarea intenționată a browserului și apoi prezentarea unei soluții contrafăcute, atacatorii au transformat frustrarea utilizatorilor în conformitate.

Operațiunea demonstrează cum extensiile de browser, piețele de încredere și instrumentele care practică viața de pe teren pot fi integrate într-un lanț de infecție rezistent, unul care persistă nu doar prin ascundere, ci prin manipularea repetată a victimei pentru a declanșa atacul.