Rabattoffert för flera licenser
Hotdatabas Skadlig programvara CrashFix Chrome-tillägg

CrashFix Chrome-tillägg

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT)
Översätt till:

Cybersäkerhetsforskare har avslöjat en aktiv kampanj, kallad KongTuke, som missbrukar ett skadligt Google Chrome-tillägg som utger sig för att vara en annonsblockerare. Tillägget är konstruerat för att avsiktligt krascha webbläsaren och manipulera offer att utföra angriparstyrda kommandon genom social ingenjörskonst i ClickFix-stil. Denna senaste utveckling av tekniken har fått kodnamnet CrashFix och levererar slutligen en tidigare odokumenterad fjärråtkomsttrojan som kallas ModeloRAT.

KongTuke, även spårat som 404 TDS, Chaya_002, LandUpdate808 och TAG-124, fungerar som ett trafikdistributionssystem (TDS). Det profilerar offermiljöer och omdirigerar utvalda mål till skadlig infrastruktur för nyttolastleverans. Åtkomst till infekterade värdar säljs eller överförs sedan till andra hotaktörer, inklusive ransomware-operatörer, för att möjliggöra komprometteringar i sekundärfasen.

Hotgrupper som tidigare observerats utnyttja TAG-124-infrastrukturen inkluderar Rhysida ransomware, Interlock ransomware och TA866 (Asylum Ambuscade). Aktiviteten har också kopplats till SocGholish och D3F@ck Loader, enligt en rapport från april 2025.

Från Chrome Web Store till kompromiss

I den dokumenterade infektionskedjan sökte offren online efter en annonsblockerare och fick se en skadlig annons som omdirigerade dem till ett webbläsartillägg som finns direkt på den officiella Chrome Web Store.

Tillägget, kallat 'NexShield – Advanced Web Guardian' (ID: cpcdkmjddocijdkbbeiaafnpdbdafmi), presenterade sig som en 'ultimativ integritetsskydd' och påstod sig blockera annonser, spårare, skadlig programvara och påträngande webbinnehåll. Innan det togs bort hade det laddats ner minst 5 000 gånger.

Tekniskt sett var tillägget en nästan identisk klon av ett legitimt annonsblockerande tillägg. Under det välbekanta gränssnittet var det dock utformat för att visa en fabricerad säkerhetsvarning som uppgav att webbläsaren hade "stoppat onormalt" och uppmanade användare att starta en falsk skanning som påstods vara kopplad till Microsoft Edge.

Att konstruera en krasch för att skapa förtroende

Om användaren klickade för att köra skanningen visade tillägget instruktioner för att öppna Windows Kör-dialogruta och köra ett kommando som redan hade kopierats till urklipp. Så snart detta inträffade startade tillägget avsiktligt en överbelastningsrutin som skapade oändliga runtime-portanslutningar genom en oändlig loop, och upprepade samma steg upp till en miljard gånger.

Denna resursförbrukning orsakade extrem minnesförbrukning, vilket gjorde webbläsaren långsam, oresponsiv och så småningom tvingade fram en krasch. Den avsiktliga instabiliteten var inte en bieffekt, utan en utlösande faktor för social ingenjörskonst.

När tillägget installerades överförde det en unik identifierare till en angriparkontrollerad server på nexsnield[.]com, vilket möjliggjorde spårning av offer. Skadlig aktivitet fördröjdes i 60 minuter efter installationen, varefter den kördes om var 10:e minut.

Innan DoS-rutinen startades lagrade tillägget en tidsstämpel lokalt. När användaren tvångsavslutade och startade om webbläsaren kontrollerade en starthanterare detta värde. Om det fanns ett CrashFix-popupfönster som sedan raderade tidsstämpeln, vilket skapade illusionen att varningen var en konsekvens av kraschen snarare än dess orsak.

DoS-rutinen kördes endast när tre villkor var uppfyllda: offrets UUID fanns, kommando- och kontrollservern svarade korrekt och popup-fönstret hade öppnats och stängts minst en gång. Denna logik tyder starkt på att operatörerna ville bekräfta användarinteraktion innan de aktiverade nyttolastslingan helt.

Resultatet blev en självgående cykel. Varje påtvingad omstart efter en frysning utlöste den falska varningen på nytt. Om tillägget förblev installerat återupptogs kraschbeteendet efter tio minuter.

Förvirring, antianalys och att leva av landet

Den falska popup-rutan implementerade flera antianalysåtgärder, inklusive att inaktivera högerklicksmenyer och blockera kortkommandon som vanligtvis används för att komma åt utvecklarverktyg.

CrashFix-kommandot missbrukade det legitima Windows-verktyget finger.exe för att hämta och köra en sekundär nyttolast från 199.217.98[.]108. KongTukes användning av Finger-verktyget hade tidigare dokumenterats i december 2025.

Den nedladdade nyttolasten var ett PowerShell-kommando som hämtade ett ytterligare skript, vilket dolde dess innehåll genom flera lager av Base64-kodning och XOR-operationer, vilket ekar tekniker som länge varit förknippade med SocGholish-kampanjer.

När skriptet hade dekrypterats skannade det aktiva processer efter fler än 50 kända analysverktyg och indikatorer för virtuella maskiner och avslutades omedelbart om några hittades. Det utvärderade också om systemet var domänanslutet eller del av en fristående arbetsgrupp och skickade sedan en HTTP POST-begäran tillbaka till samma server som innehöll:

  • En lista över installerade antivirusprodukter
  • En värdklassificeringsflagga: 'ABCD111' för fristående system och 'BCDA222' för domänanslutna maskiner

ModeloRAT: Skräddarsydd för företagsmiljöer

Om det infekterade systemet identifierades som domänanslutet kulminerade infektionskedjan i utplaceringen av ModeloRAT, en Python-baserad Windows-trojan för fjärråtkomst. Skadlig programvara kommunicerar via RC4-krypterade kanaler med kommando- och kontrollservrar på 170.168.103[.]208 eller 158.247.252[.]178.

ModeloRAT etablerar persistens genom Windows-registret och stöder körning av binärfiler, DLL-filer, Python-skript och PowerShell-kommandon. Det inkluderar också inbyggda livscykelkontroller, vilket gör det möjligt för operatörer att fjärruppdatera implantatet eller avsluta det med hjälp av dedikerade kommandon.

RAT implementerar en flerskiktad beaconingstrategi utformad för att undvika beteendedetektering:

  • Under normala förhållanden avger den en signal var 300:e sekund.
  • När servern växlar till aktivt läge, pollar den aggressivt med ett konfigurerbart intervall, med standardvärdet 150 millisekunder.
  • Efter sex kommunikationsfel i rad backar den till 900-sekundersintervaller.
  • Efter ett enda fel försöker den återansluta efter 150 sekunder innan den återgår till standardtiden.

Denna adaptiva logik gör att ModeloRAT kan integreras i nätverkstrafiken samtidigt som den stöder snabb operatörsinteraktion vid behov.

En tvåspårig infektionsstrategi

Medan implementeringen av ModeloRAT på domänanslutna system starkt indikerar ett fokus på företagsmiljöer och djupare nätverkspenetration, dirigerades fristående maskiner genom en annan flerstegssekvens. I dessa fall svarade kommando- och kontrollservern slutligen med meddelandet "TESTA NYTTOLAST!!!!", vilket tyder på att denna parallella infektionsväg fortfarande kan vara under utveckling.

Den större bilden: Social ingenjörskonst genom design

KongTukes CrashFix-kampanj illustrerar hur moderna hotaktörer förfinar social ingenjörskonst till en heltäckande kontrollslinga. Genom att utge sig för att vara ett pålitligt öppen källkodsprojekt, avsiktligt destabilisera webbläsaren och sedan presentera en förfalskad korrigering, förvandlade angriparna användarfrustration till efterlevnad.

Operationen visar hur webbläsartillägg, betrodda marknadsplatser och verktyg som lever utanför marken kan sammansmältas till en motståndskraftig infektionskedja, en som inte enbart består genom smygande åtgärder, utan genom att upprepade gånger manipulera offret till att själva utlösa attacken.

Trendigt

Mest sedda

Läser in...