Расширение CrashFix для Chrome
Исследователи в области кибербезопасности обнаружили активную кампанию под названием KongTuke, которая использует вредоносное расширение Google Chrome, маскирующееся под блокировщик рекламы. Расширение разработано таким образом, чтобы намеренно вызывать сбой в работе браузера и манипулировать жертвами, заставляя их выполнять команды, управляемые злоумышленниками, с помощью методов социальной инженерии, подобных ClickFix. Эта последняя версия техники получила кодовое название CrashFix и в конечном итоге распространяет ранее не описанный троян удаленного доступа, известный как ModeloRAT.
KongTuke, также отслеживаемый под номерами 404 TDS, Chaya_002, LandUpdate808 и TAG-124, работает как система распределения трафика (TDS). Он анализирует среду жертвы и перенаправляет выбранные цели на инфраструктуру доставки вредоносного трафика. Затем доступ к зараженным хостам продается или передается другим злоумышленникам, включая операторов программ-вымогателей, для обеспечения возможности компрометации на вторичном этапе.
К числу групп угроз, ранее использовавших инфраструктуру TAG-124, относятся программы-вымогатели Rhysida и Interlock, а также TA866 (Asylum Ambuscade). Согласно отчету от апреля 2025 года, эта активность также связана с SocGholish и D3F@ck Loader.
Оглавление
От Chrome Web Store к компромиссу
В задокументированной цепочке заражения жертвы искали в интернете блокировщик рекламы и получали вредоносную рекламу, которая перенаправляла их на расширение для браузера, размещенное непосредственно в официальном магазине Chrome Web Store.
Расширение под названием «NexShield – Advanced Web Guardian» (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi) позиционировало себя как «абсолютный щит для защиты конфиденциальности», якобы блокирующий рекламу, трекеры, вредоносное ПО и навязчивый веб-контент. До своего удаления оно было загружено как минимум 5000 раз.
Технически, это расширение представляло собой практически идентичную копию легитимного расширения для блокировки рекламы. Однако за привычным интерфейсом скрывалось сфабрикованное предупреждение о безопасности, в котором говорилось, что браузер «остановился ненормально», и предлагалось пользователям запустить фальшивое сканирование, якобы связанное с Microsoft Edge.
Создание искусственного обвала для формирования доверия
Если пользователь нажимал кнопку запуска сканирования, расширение отображало инструкции по открытию диалогового окна «Выполнить» в Windows и выполнению команды, уже скопированной в буфер обмена. Как только это происходило, расширение намеренно запускало процедуру атаки типа «отказ в обслуживании», которая создавала бесконечные соединения с портами во время выполнения через бесконечный цикл, повторяя один и тот же шаг до миллиарда раз.
Это истощение ресурсов привело к чрезмерному потреблению памяти, из-за чего браузер стал работать медленно, перестал реагировать и в конечном итоге выдал ошибку. Преднамеренная нестабильность не была побочным эффектом, а стала триггером социальной инженерии.
После установки расширение передавало уникальный идентификатор на контролируемый злоумышленником сервер по адресу nexsnield[.]com, что позволяло отслеживать жертву. Вредоносная активность задерживалась на 60 минут после установки, после чего она повторно запускалась каждые 10 минут.
Перед запуском DoS-атаки расширение сохраняло метку времени в локальном хранилище. Когда пользователь принудительно завершал и перезапускал браузер, обработчик запуска проверял наличие этого значения. Если оно присутствовало, появлялось всплывающее окно CrashFix, а затем метка времени удалялась, создавая иллюзию, что предупреждение является следствием сбоя, а не его причиной.
Процедура DoS-атаки выполнялась только при соблюдении трех условий: UUID жертвы существовал, сервер управления и контроля успешно ответил, и всплывающее окно было открыто и закрыто хотя бы один раз. Эта логика убедительно свидетельствует о том, что операторы хотели подтвердить взаимодействие с пользователем, прежде чем полностью активировать цикл полезной нагрузки.
В результате возник самоподдерживающийся цикл. Каждый принудительный перезапуск после зависания снова запускал ложное предупреждение. Если расширение оставалось установленным, сбои возобновлялись через десять минут.
Запутывание, антианализ и жизнь за счет даров природы
Поддельное всплывающее окно внедряло несколько мер против анализа, отключая контекстные меню по щелчку правой кнопкой мыши и блокируя сочетания клавиш, обычно используемые для доступа к инструментам разработчика.
Команда CrashFix использовала легитимную утилиту Windows finger.exe для получения и выполнения вторичной полезной нагрузки с IP-адреса 199.217.98[.]108. Использование утилиты Finger компанией KongTuke было ранее задокументировано в декабре 2025 года.
Загруженная полезная нагрузка представляла собой команду PowerShell, которая загружала дополнительный скрипт, скрывавший свое содержимое с помощью многоуровневого кодирования Base64 и операций XOR, что перекликалось с методами, давно ассоциирующимися с кампаниями сторонников социал-голизма.
После расшифровки скрипт просканировал активные процессы на наличие более 50 известных инструментов анализа и индикаторов виртуальных машин и немедленно завершил работу, если таковые были обнаружены. Он также оценил, подключена ли система к домену или является частью автономной рабочей группы, а затем отправил HTTP POST-запрос обратно на тот же сервер, содержащий:
- Список установленных антивирусных программ
- Флаг классификации хоста: «ABCD111» для автономных систем и «BCDA222» для машин, подключенных к домену.
ModeloRAT: Разработано специально для корпоративной среды
Если зараженная система была идентифицирована как подключенная к домену, цепочка заражения завершалась развертыванием ModeloRAT, трояна удаленного доступа для Windows на основе Python. Вредоносная программа обменивается данными по каналам с шифрованием RC4 с серверами управления и контроля по адресам 170.168.103[.]208 или 158.247.252[.]178.
ModeloRAT обеспечивает постоянное присутствие в системе через реестр Windows и поддерживает выполнение бинарных файлов, DLL-библиотек, скриптов Python и команд PowerShell. Он также включает встроенные средства управления жизненным циклом, позволяющие операторам удаленно обновлять имплант или удалять его с помощью специальных команд.
RAT использует многоуровневую стратегию отправки сигналов, разработанную для обхода поведенческого обнаружения:
- В нормальных условиях он подает сигналы каждые 300 секунд.
- При переключении сервером в активный режим он выполняет интенсивный опрос с настраиваемым интервалом, по умолчанию составляющим 150 миллисекунд.
- После шести последовательных сбоев связи интервал между сообщениями увеличивается до 900 секунд.
- После единичного сбоя система пытается восстановить соединение через 150 секунд, после чего возвращается к стандартному режиму работы.
Эта адаптивная логика позволяет ModeloRAT сливаться с сетевым трафиком, обеспечивая при этом быстрое взаимодействие с оператором при необходимости.
Двухступенчатая стратегия борьбы с инфекцией
Хотя развертывание ModeloRAT на системах, подключенных к домену, убедительно свидетельствует о ориентации на корпоративные среды и более глубоком проникновении в сеть, автономные машины были подключены через другую многоступенчатую последовательность. В этих случаях сервер управления и контроля в конечном итоге отвечал сообщением «ТЕСТОВАЯ ПОМОЩЬ!!!!», что предполагает, что этот параллельный путь заражения, возможно, все еще находится в стадии разработки.
Более широкая картина: социальная инженерия посредством проектирования.
Кампания CrashFix от KongTuke демонстрирует, как современные злоумышленники совершенствуют методы социальной инженерии, превращая их в полноценный механизм контроля. Выдавая себя за доверенный проект с открытым исходным кодом, намеренно дестабилизируя браузер, а затем предлагая поддельное решение, злоумышленники превратили недовольство пользователей в подчинение.
Эта операция демонстрирует, как расширения для браузеров, проверенные торговые площадки и инструменты, позволяющие выживать за счет ресурсов окружающей среды, могут быть объединены в устойчивую цепочку заражения, которая сохраняется не только за счет скрытности, но и путем многократного манипулирования жертвой с целью заставить ее самостоятельно инициировать атаку.
