Razširitev CrashFix za Chrome

Raziskovalci kibernetske varnosti so odkrili aktivno kampanjo z imenom KongTuke, ki zlorablja zlonamerno razširitev za Google Chrome, ki se izdaja za blokator oglasov. Razširitev je zasnovana tako, da namerno sesuje brskalnik in manipulira žrtve, da izvajajo ukaze, ki jih nadzoruje napadalec, s pomočjo socialnega inženiringa v slogu ClickFixa. Ta najnovejši razvoj tehnike je dobil kodno ime CrashFix in na koncu ustvari prej nedokumentiran trojanski konj za oddaljeni dostop, znan kot ModeloRAT.

KongTuke, ki ga spremljajo tudi kot 404 TDS, Chaya_002, LandUpdate808 in TAG-124, deluje kot sistem za distribucijo prometa (TDS). Profilira okolja žrtev in preusmerja izbrane tarče na infrastrukturo za dostavo zlonamerne programske opreme. Dostop do okuženih gostiteljev se nato proda ali prenese na druge akterje grožnje, vključno z operaterji izsiljevalske programske opreme, da se omogočijo sekundarne kompromitacije.

Med skupinami groženj, ki so bile predhodno opažene pri izkoriščanju infrastrukture TAG-124, so izsiljevalska programska oprema Rhysida, izsiljevalska programska oprema Interlock in TA866 (Asylum Ambuscade). Dejavnost je bila povezana tudi s SocGholish in D3F@ck Loader, v skladu s poročilom iz aprila 2025.

Iz spletne trgovine Chrome do kompromisa

V dokumentirani verigi okužb so žrtve na spletu iskale blokator oglasov in jim je bil prikazan zlonameren oglas, ki jih je preusmeril na razširitev brskalnika, ki je bila gostovana neposredno v uradni spletni trgovini Chrome.

Razširitev z imenom »NexShield – Advanced Web Guardian« (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi) se je predstavljala kot »ultimativni ščit zasebnosti«, ki naj bi blokiral oglase, sledilnike, zlonamerno programsko opremo in vsiljivo spletno vsebino. Pred odstranitvijo je imela vsaj 5000 prenosov.

Tehnično gledano je bila razširitev skoraj identična kopija legitimne razširitve za blokiranje oglasov. Vendar pa je bila pod znanim vmesnikom zasnovana tako, da je prikazovala izmišljeno varnostno opozorilo, ki je navajalo, da se je brskalnik »nenormalno ustavil«, in uporabnike pozivalo k sprožitvi lažnega skeniranja, domnevno povezanega z brskalnikom Microsoft Edge.

Snovanje zloma za zaupanje v proizvodnjo

Če je uporabnik kliknil za zagon skeniranja, je razširitev prikazala navodila za odpiranje pogovornega okna Zaženi v sistemu Windows in izvedbo ukaza, ki je bil že kopiran v odložišče. Takoj ko se je to zgodilo, je razširitev namerno zagnala rutino zavrnitve storitve, ki je ustvarila neskončne povezave vrat med izvajanjem prek neskončne zanke in isti korak ponovila do milijardekrat.

Zaradi izčrpanosti virov je prišlo do ekstremne porabe pomnilnika, zaradi česar je brskalnik deloval počasi, neodziven in na koncu se je sesul. Namerna nestabilnost ni bila stranski učinek, temveč sprožilec socialnega inženiringa.

Ko je bila razširitev nameščena, je na strežnik nexsnield[.]com, ki ga je nadzoroval napadalec, poslala edinstven identifikator, kar je omogočilo sledenje žrtvam. Zlonamerna dejavnost je bila po namestitvi zakasnjena za 60 minut, nato pa se je vsakih 10 minut znova izvedla.

Preden je zagnal rutino DoS, je razširitev shranila časovni žig v lokalni pomnilnik. Ko je uporabnik prisilno zaprl in znova zagnal brskalnik, je zagonski rutina preverila to vrednost. Če je bila prisotna, se je pojavilo pojavno okno CrashFix, ki je nato izbrisalo časovni žig, kar je ustvarilo iluzijo, da je opozorilo posledica sesutja in ne njegov vzrok.

Rutina DoS se je izvedla le, ko so bili izpolnjeni trije pogoji: UUID žrtve je obstajal, strežnik za upravljanje in nadzor se je uspešno odzval in pojavno okno je bilo vsaj enkrat odprto in zaprto. Ta logika močno nakazuje, da so operaterji želeli potrditi interakcijo uporabnika, preden so v celoti aktivirali zanko koristnega tovora.

Rezultat je bil samovzdrževalni cikel. Vsak prisilni ponovni zagon po zamrznitvi je ponovno sprožil lažno opozorilo. Če je razširitev ostala nameščena, se je sesutje po desetih minutah nadaljevalo.

Zatemnitev, antianaliza in življenje od zemlje

Lažno pojavno okno je uvedlo več ukrepov proti analizi, onemogočilo je kontekstne menije z desno miškino tipko in blokiralo bližnjice na tipkovnici, ki se običajno uporabljajo za dostop do orodij za razvijalce.

Ukaz CrashFix je zlorabil legitimni pripomoček sistema Windows finger.exe za pridobivanje in izvajanje koristnega tovora sekundarne stopnje iz naslova 199.217.98[.]108. Uporaba pripomočka Finger s strani KongTuke je bila že prej dokumentirana decembra 2025.

Preneseni koristni tovor je bil ukaz PowerShell, ki je pridobil dodatno skripto, ki je svojo vsebino prikrila z več plastmi kodiranja Base64 in operacij XOR, kar je odmevalo tehnike, ki so bile dolgo časa povezane s kampanjami SocGholish.

Ko je bil skript dešifriran, je pregledal aktivne procese za več kot 50 znanih orodij za analizo in indikatorjev virtualnih strojev ter jih takoj prekinil, če so bili najdeni. Prav tako je ocenil, ali je bil sistem pridružen domeni ali del samostojne delovne skupine, nato pa je istemu strežniku poslal zahtevo HTTP POST, ki je vsebovala:

• Seznam nameščenih protivirusnih izdelkov
• Zastavica klasifikacije gostitelja: 'ABCD111' za samostojne sisteme in 'BCDA222' za računalnike, povezane z domeno

ModeloRAT: Prilagojeno poslovnim okoljem

Če je bil okuženi sistem prepoznan kot domensko povezan, je veriga okužbe dosegla vrhunec z namestitvijo ModeloRAT-a, trojanca za oddaljeni dostop do sistema Windows, ki temelji na Pythonu. Zlonamerna programska oprema komunicira prek kanalov, šifriranih z RC4, s strežniki za upravljanje in nadzor na naslovih 170.168.103[.]208 ali 158.247.252[.]178.

ModeloRAT vzpostavi vztrajnost prek registra sistema Windows in podpira izvajanje binarnih datotek, DLL-jev, skriptov Python in ukazov PowerShell. Vključuje tudi vgrajene kontrole življenjskega cikla, ki operaterjem omogočajo oddaljeno posodabljanje vsadka ali njegovo prekinitev z uporabo namenskih ukazov.

RAT izvaja večstopenjsko strategijo odkrivanja, zasnovano tako, da se izogne vedenjskemu zaznavanju:

• V normalnih pogojih oddaja signal vsakih 300 sekund.
• Ko strežnik preklopi v aktivni način, agresivno anketira v nastavljivem intervalu, privzeto nastavljenem na 150 milisekund.
• Po šestih zaporednih komunikacijskih napakah se vrne na 900-sekundne intervale.
• Po enkratni napaki poskuša ponovno vzpostaviti povezavo po 150 sekundah, preden se vrne na standardni čas.

Ta prilagodljiva logika omogoča ModeloRAT-u, da se zlije z omrežnim prometom, hkrati pa po potrebi podpira hitro interakcijo operaterja.

Dvosmerna strategija okužbe

Medtem ko namestitev ModeloRAT-a v sisteme, povezane z domenami, močno kaže na osredotočenost na poslovna okolja in globljo penetracijo omrežja, so bili samostojni stroji usmerjeni skozi drugačno večstopenjsko zaporedje. V teh primerih se je strežnik za upravljanje in nadzor na koncu odzval s sporočilom »TEST PAYLOAD!!!!«, kar kaže na to, da je ta vzporedna pot okužbe morda še vedno v razvoju.

Širša slika: Socialni inženiring po načrtih

KongTukeova kampanja CrashFix ponazarja, kako sodobni akterji groženj izpopolnjujejo socialni inženiring v popolnoma zasnovano nadzorno zanko. Z lažnim predstavljanjem zaupanja vrednega odprtokodnega projekta, namerno destabilizacijo brskalnika in nato predstavitvijo ponarejenega popravka so napadalci frustracije uporabnikov spremenili v skladnost s predpisi.

Operacija prikazuje, kako se lahko razširitve brskalnika, zaupanja vredne tržnice in orodja za preživetje od zemlje združijo v odporno verigo okužb, ki ne vztraja zgolj zaradi prikritosti, temveč z večkratnim manipuliranjem žrtve, da sama sproži napad.