Rozšírenie CrashFix pre Chrome

Výskumníci v oblasti kybernetickej bezpečnosti odhalili aktívnu kampaň s názvom KongTuke, ktorá zneužíva škodlivé rozšírenie prehliadača Google Chrome, ktoré sa vydáva za blokovač reklám. Rozšírenie je navrhnuté tak, aby zámerne spôsobilo zlyhanie prehliadača a manipulovalo obete k vykonávaniu príkazov ovládaných útočníkom prostredníctvom sociálneho inžinierstva v štýle ClickFix. Tento najnovší vývoj tejto techniky dostal kódové označenie CrashFix a v konečnom dôsledku prináša doteraz nezdokumentovaný trójsky kôň pre vzdialený prístup známy ako ModeloRAT.

KongTuke, sledovaný aj ako 404 TDS, Chaya_002, LandUpdate808 a TAG-124, funguje ako systém distribúcie prevádzky (TDS). Profiluje prostredia obetí a presmeruje vybrané ciele na infraštruktúru pre doručovanie škodlivého obsahu. Prístup k infikovaným hostiteľom sa potom predáva alebo prevádza na iných aktérov hrozby vrátane prevádzkovateľov ransomvéru, aby sa umožnili sekundárne kompromitácie.

Medzi hrozbami, ktoré boli predtým pozorované pri využívaní infraštruktúry TAG-124, sú ransomvér Rhysida, ransomvér Interlock a TA866 (Asylum Ambuscade). Podľa správy z apríla 2025 bola táto aktivita spojená aj so SocGholish a D3F@ck Loader.

Z Internetového obchodu Chrome do kompromisu

V zdokumentovanom reťazci infekcií obete vyhľadávali online blokovač reklám a zobrazovala sa im škodlivá reklama, ktorá ich presmerovala na rozšírenie prehliadača umiestnené priamo v oficiálnom internetovom obchode Chrome.

Rozšírenie s názvom „NexShield – Advanced Web Guardian“ (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi) sa prezentovalo ako „dokonalý štít na ochranu súkromia“ a tvrdilo, že blokuje reklamy, sledovacie programy, malvér a rušivý webový obsah. Pred odstránením nazbieralo najmenej 5 000 stiahnutí.

Technicky vzaté, rozšírenie bolo takmer identickým klonom legitímneho rozšírenia na blokovanie reklám. Pod známym rozhraním však bolo navrhnuté tak, aby zobrazovalo vymyslené bezpečnostné upozornenie, ktoré uvádzalo, že prehliadač sa „abnormálne zastavil“, a vyzývalo používateľov na spustenie falošnej kontroly údajne spojenej s prehliadačom Microsoft Edge.

Navrhovanie krachu pre dôveru vo výrobu

Ak používateľ klikol na spustenie kontroly, rozšírenie zobrazilo pokyny na otvorenie dialógového okna Spustiť systému Windows a vykonanie príkazu, ktorý už bol skopírovaný do schránky. Hneď ako k tomu došlo, rozšírenie zámerne spustilo rutinu odmietnutia služby, ktorá vytvorila nekonečné pripojenia k portom za behu prostredníctvom nekonečnej slučky a opakovala ten istý krok až miliardu krát.

Toto vyčerpanie zdrojov spôsobilo extrémnu spotrebu pamäte, čo spôsobilo, že prehliadač bol pomalý, nereagoval a nakoniec vynútil zlyhanie. Zámerná nestabilita nebola vedľajším účinkom, ale spúšťačom sociálneho inžinierstva.

Po nainštalovaní rozšírenie odoslalo jedinečný identifikátor na server ovládaný útočníkom na adrese nexsnield[.]com, čo umožnilo sledovanie obete. Škodlivá aktivita bola po inštalácii oneskorená o 60 minút, po ktorých sa každých 10 minút znova spúšťala.

Pred spustením rutiny DoS rozšírenie uložilo časovú pečiatku do lokálneho úložiska. Keď používateľ vynútil ukončenie a reštartovanie prehliadača, obslužný program spustenia skontroloval túto hodnotu. Ak bola prítomná, zobrazilo sa vyskakovacie okno CrashFix a potom časovú pečiatku odstránilo, čím sa vytvorila ilúzia, že varovanie bolo dôsledkom havárie a nie jej príčinou.

Rutina DoS bola vykonaná iba vtedy, keď boli splnené tri podmienky: existovalo UUID obete, server príkazového riadiaceho systému úspešne odpovedal a vyskakovacie okno bolo aspoň raz otvorené a zatvorené. Táto logika silne naznačuje, že operátori chceli potvrdiť interakciu používateľa pred úplnou aktiváciou slučky užitočného zaťaženia.

Výsledkom bol samovoľne sa udržiavajúci cyklus. Každý vynútený reštart po zamrznutí opätovne spustil falošné varovanie. Ak rozšírenie zostalo nainštalované, správanie pri páde sa obnovilo po desiatich minútach.

Zahmlievanie, antianalýza a život z pôdy

Falošné vyskakovacie okno implementovalo niekoľko opatrení proti analýze, deaktivovalo kontextové ponuky po kliknutí pravým tlačidlom myši a blokovalo klávesové skratky, ktoré sa zvyčajne používajú na prístup k nástrojom pre vývojárov.

Príkaz CrashFix zneužil legitímny nástroj systému Windows finger.exe na načítanie a spustenie sekundárneho užitočného zaťaženia z adresy 199.217.98[.]108. Použitie nástroja Finger spoločnosťou KongTuke bolo predtým zdokumentované v decembri 2025.

Stiahnuté užitočné zaťaženie bol príkaz PowerShellu, ktorý načítal ďalší skript, ktorý skrýval svoj obsah pomocou viacerých vrstiev kódovania Base64 a operácií XOR, čo pripomínalo techniky dlho spájané s kampaňami SocGholish.

Po dešifrovaní skript prehľadal aktívne procesy a našiel viac ako 50 známych analytických nástrojov a indikátorov virtuálnych strojov a v prípade nájdenia akýchkoľvek sa okamžite ukončil. Taktiež vyhodnotil, či je systém pripojený k doméne alebo je súčasťou samostatnej pracovnej skupiny, a potom odoslal požiadavku HTTP POST späť na ten istý server s nasledujúcim obsahom:

• Zoznam nainštalovaných antivírusových produktov
• Príznak klasifikácie hostiteľa: „ABCD111“ pre samostatné systémy a „BCDA222“ pre počítače pripojené k doméne

ModeloRAT: Prispôsobené pre firemné prostredie

Ak bol infikovaný systém identifikovaný ako pripojený k doméne, reťazec infekcie vyvrcholil nasadením ModeloRAT, trójskeho koňa pre vzdialený prístup k systému Windows založeného na jazyku Python. Malvér komunikuje cez kanály šifrované pomocou RC4 s príkazovými a riadiacimi servermi na adrese 170.168.103[.]208 alebo 158.247.252[.]178.

ModeloRAT zabezpečuje perzistenciu prostredníctvom registra systému Windows a podporuje vykonávanie binárnych súborov, DLL, skriptov Pythonu a príkazov PowerShellu. Obsahuje tiež vstavané ovládacie prvky životného cyklu, ktoré umožňujú operátorom vzdialene aktualizovať implantát alebo ho ukončiť pomocou vyhradených príkazov.

RAT implementuje viacvrstvovú stratégiu signalizácie, ktorá je navrhnutá tak, aby sa vyhla detekcii správania:

• Za normálnych podmienok vysiela signál každých 300 sekúnd.
• Keď ho server prepne do aktívneho režimu, agresívne sa ozýva v konfigurovateľnom intervale, predvolene nastavenom na 150 milisekúnd.
• Po šiestich po sebe nasledujúcich zlyhaniach komunikácie sa prepne na 900-sekundové intervaly.
• Po jednej chybe sa po 150 sekundách pokúsi o opätovné pripojenie a potom sa vráti k štandardnému načasovaniu.

Táto adaptívna logika umožňuje ModeloRAT integrovať sa do sieťovej prevádzky a zároveň v prípade potreby podporovať rýchlu interakciu operátora.

Dvojitá stratégia infekcie

Zatiaľ čo nasadenie ModeloRAT na systémoch pripojených k doméne silne naznačuje zameranie na firemné prostredia a hlbšiu penetráciu siete, samostatné počítače boli smerované cez inú viacstupňovú sekvenciu. V týchto prípadoch server príkazového riadiaceho systému nakoniec odpovedal správou „TEST PAYLOAD!!!!“, čo naznačuje, že táto paralelná cesta infekcie môže byť stále vo vývoji.

Širší obraz: Sociálne inžinierstvo už v zámere

Kampaň CrashFix od spoločnosti KongTuke ilustruje, ako moderní aktéri útokov zdokonaľujú sociálne inžinierstvo do plne technicky vytvorenej riadiacej slučky. Vydávaním sa za dôveryhodný open-source projekt, zámernou destabilizáciou prehliadača a následným predstavením falošnej opravy útočníci premenili frustráciu používateľov na súlad s predpismi.

Táto operácia demonštruje, ako možno rozšírenia prehliadača, dôveryhodné trhoviská a nástroje na živobytie z vlastnej krajiny spojiť do odolného reťazca infekcie, ktorý pretrváva nielen vďaka utajeniu, ale aj opakovanou manipuláciou obete, aby sama spustila útok.