CrashFix Chrome Extension
Studiuesit e sigurisë kibernetike kanë zbuluar një fushatë aktive, të quajtur KongTuke, që abuzon me një shtesë keqdashëse të Google Chrome duke u paraqitur si bllokues reklamash. Shtesa është projektuar për të bllokuar qëllimisht shfletuesin dhe për të manipuluar viktimat që të ekzekutojnë komanda të kontrolluara nga sulmuesi përmes inxhinierisë sociale në stilin ClickFix. Ky evolucion i fundit i teknikës është koduar CrashFix dhe në fund të fundit sjell një trojan me qasje në distancë të padokumentuar më parë të njohur si ModeloRAT.
KongTuke, i gjurmuar edhe si 404 TDS, Chaya_002, LandUpdate808 dhe TAG-124, vepron si një sistem shpërndarjeje trafiku (TDS). Ai profilizon mjediset e viktimave dhe ridrejton objektivat e zgjedhura në infrastrukturën e shpërndarjes së ngarkesës së dëmshme. Qasja në hostet e infektuara më pas shitet ose transferohet te aktorë të tjerë kërcënimi, duke përfshirë operatorët e ransomware-it, për të mundësuar kompromentime të fazës dytësore.
Grupet kërcënuese të vëzhguara më parë duke përdorur infrastrukturën TAG-124 përfshijnë ransomware-in Rhysida, ransomware-in Interlock dhe TA866 (Asylum Ambuscade). Aktiviteti është lidhur gjithashtu me SocGholish dhe D3F@ck Loader, sipas një raporti të prillit 2025.
Tabela e Përmbajtjes
Nga Dyqani Web i Chrome te Komprometimi
Në zinxhirin e dokumentuar të infeksionit, viktimat kërkuan në internet për një bllokues reklamash dhe iu shfaq një reklamë dashakeqe që i ridrejtonte ata në një zgjerim të shfletuesit të vendosur direkt në Dyqanin zyrtar të Chrome Web.
Shtesa, e quajtur 'NexShield – Advanced Web Guardian' (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi), u paraqit si një 'mburojë përfundimtare e privatësisë' që pretendonte se bllokonte reklamat, gjurmuesit, programet keqdashëse dhe përmbajtjen ndërhyrëse të internetit. Përpara heqjes së saj, ajo kishte grumbulluar të paktën 5,000 shkarkime.
Teknikisht, zgjerimi ishte një klon pothuajse identik i një zgjerimi legjitim bllokues reklamash. Megjithatë, poshtë ndërfaqes së njohur, ai ishte projektuar për të shfaqur një paralajmërim sigurie të sajuar që deklaronte se shfletuesi ishte 'ndaluar në mënyrë anormale' dhe i nxiste përdoruesit të fillonin një skanim të rremë që supozohej se ishte i lidhur me Microsoft Edge.
Inxhinieria e një përplasjeje për të prodhuar besim
Nëse përdoruesi klikonte për të ekzekutuar skanimin, zgjerimi shfaqte udhëzime për të hapur dialogun "Run" të Windows dhe për të ekzekutuar një komandë që ishte kopjuar tashmë në kujtesën e përkohshme. Sapo kjo ndodhte, zgjerimi niste qëllimisht një rutinë mohimi të shërbimit që krijonte lidhje të pafundme portash në kohën e ekzekutimit përmes një cikli të pafund, duke përsëritur të njëjtin hap deri në një miliard herë.
Kjo shterim i burimeve shkaktoi konsum ekstrem të memories, duke e bërë shfletuesin të ngadaltë, të papërgjegjshëm dhe përfundimisht duke shkaktuar një bllokim. Paqëndrueshmëria e qëllimshme nuk ishte një efekt anësor, por shkaku i inxhinierisë sociale.
Pasi instalohej, zgjerimi transmetonte një identifikues unik në një server të kontrolluar nga sulmuesi në nexsnield[.]com, duke mundësuar gjurmimin e viktimës. Aktiviteti keqdashës vonohej për 60 minuta pas instalimit, pas të cilave riekzekutohej çdo 10 minuta.
Përpara nisjes së rutinës DoS, zgjerimi ruante një pullë kohore në memorien lokale. Kur përdoruesi mbyllte me forcë shfletuesin dhe e riniste, një trajtues nisjeje kontrollonte për këtë vlerë. Nëse ishte i pranishëm, shfaqej dritarja CrashFix dhe më pas fshinte pullën kohore, duke krijuar iluzionin se paralajmërimi ishte pasojë e rrëzimit dhe jo shkaku i tij.
Rutina DoS ekzekutohej vetëm kur plotësoheshin tre kushte: ekzistonte UUID e viktimës, serveri i komandës dhe kontrollit përgjigjej me sukses dhe dritarja pop-up ishte hapur dhe mbyllur të paktën një herë. Kjo logjikë sugjeron fuqimisht se operatorët donin të konfirmonin ndërveprimin e përdoruesit përpara se të aktivizonin plotësisht ciklin e ngarkesës.
Rezultati ishte një cikël vetëqëndrueshëm. Çdo rinisje e detyruar pas një ngrirjeje riaktivizonte paralajmërimin e rremë. Nëse zgjerimi mbetej i instaluar, sjellja e rrëzimit rifillonte pas dhjetë minutash.
Mjegullim, Anti-Analizë dhe Jetë jashtë Vendit
Dritarja e rreme pop-up zbatoi disa masa kundër analizës, duke çaktivizuar menutë e kontekstit me klikim të djathtë dhe duke bllokuar shkurtoret e tastierës që përdoren zakonisht për të aksesuar mjetet e zhvilluesve.
Komanda CrashFix abuzoi me programin legjitim të Windows finger.exe për të rikuperuar dhe ekzekutuar një ngarkesë të fazës dytësore nga 199.217.98[.]108. Përdorimi i programit Finger nga KongTuke ishte dokumentuar më parë në dhjetor 2025.
Ngarkesa e shkarkuar ishte një komandë PowerShell që merrte një skript shtesë, i cili fshihte përmbajtjen e tij përmes shtresave të shumëfishta të kodimit Base64 dhe operacioneve XOR, duke i bërë jehonë teknikave të lidhura prej kohësh me fushatat SocGholish.
Pasi u deshifrua, skripti skanoi proceset aktive për më shumë se 50 mjete të njohura analize dhe tregues të makinës virtuale dhe e ndërpreu menjëherë nëse u gjetën ndonjë. Ai gjithashtu vlerësoi nëse sistemi ishte i bashkuar me domenin apo pjesë e një grupi pune të pavarur, pastaj dërgoi një kërkesë HTTP POST përsëri në të njëjtin server që përmbante:
- Një listë e produkteve antivirus të instaluara
- Një flamur klasifikimi i hostit: 'ABCD111' për sisteme të pavarura dhe 'BCDA222' për makinat e bashkuara në domen
ModeloRAT: I përshtatur për mjediset e korporatave
Nëse sistemi i infektuar identifikohej si i lidhur me domenin, zinxhiri i infeksionit kulmonte në vendosjen e ModeloRAT, një trojan me qasje në distancë për Windows i bazuar në Python. Malware komunikon përmes kanaleve të enkriptuara me RC4 me serverat e komandës dhe kontrollit në 170.168.103[.]208 ose 158.247.252[.]178.
ModeloRAT krijon qëndrueshmëri përmes Regjistrit të Windows dhe mbështet ekzekutimin e skedarëve binare, DLL-ve, skripteve Python dhe komandave PowerShell. Ai gjithashtu përfshin kontrolle të integruara të ciklit jetësor, duke u lejuar operatorëve të përditësojnë nga distanca implantin ose ta ndërpresin atë duke përdorur komanda të dedikuara.
RAT zbaton një strategji sinjalizimi shumë-nivelëshe të projektuar për të shmangur zbulimin e sjelljes:
- Në kushte normale, ai jep sinjal çdo 300 sekonda.
- Kur kalon në modalitetin aktiv nga serveri, ai kryen anketa agresive në një interval të konfigurueshëm, duke u vendosur si parazgjedhje në 150 milisekonda.
- Pas gjashtë dështimeve të njëpasnjëshme të komunikimit, ai kthehet në intervale 900-sekondëshe.
- Pas një defekti të vetëm, ai përpiqet të rilidhet pas 150 sekondash përpara se të kthehet në kohën standarde.
Kjo logjikë adaptive lejon që ModeloRAT të përzihet me trafikun e rrjetit, ndërkohë që mbështet ende ndërveprimin e shpejtë të operatorit kur kërkohet.
Një strategji dypalëshe për infeksionin
Ndërsa vendosja e ModeloRAT në sistemet e bashkuara me domene tregon fuqimisht një fokus në mjediset e korporatave dhe depërtim më të thellë të rrjetit, makinat e pavarura u drejtuan përmes një sekuence të ndryshme shumëfazore. Në këto raste, serveri i komandës dhe kontrollit në fund u përgjigj me mesazhin 'TEST PAYLOAD!!!!', duke sugjeruar që kjo rrugë paralele e infeksionit mund të jetë ende në zhvillim e sipër.
Pamja e Përgjithshme: Inxhinieri Sociale me Dizajn
Fushata CrashFix e KongTuke ilustron se si aktorët modernë të kërcënimit po e rafinojnë inxhinierinë sociale në një lak kontrolli të projektuar plotësisht. Duke u shtirur si një projekt i besueshëm me burim të hapur, duke destabilizuar qëllimisht shfletuesin dhe më pas duke paraqitur një zgjidhje të falsifikuar, sulmuesit e transformuan zhgënjimin e përdoruesve në pajtueshmëri.
Operacioni demonstron se si zgjerimet e shfletuesve, tregjet e besueshme dhe mjetet e përdorura për të jetuar jashtë vendit mund të bashkohen në një zinxhir infeksioni elastik, një zinxhir që vazhdon jo vetëm përmes fshehtësisë, por duke manipuluar vazhdimisht viktimën që ta shkaktojë vetë sulmin.
