க்ராஷ்ஃபிக்ஸ் குரோம் நீட்டிப்பு
சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள், விளம்பரத் தடுப்பாளராகக் காட்டிக் கொள்ளும் தீங்கிழைக்கும் கூகிள் குரோம் நீட்டிப்பை துஷ்பிரயோகம் செய்யும் ஒரு செயலில் உள்ள பிரச்சாரத்தை KongTuke கண்டுபிடித்துள்ளனர். இந்த நீட்டிப்பு வேண்டுமென்றே உலாவியை செயலிழக்கச் செய்து, பாதிக்கப்பட்டவர்களை ClickFix-பாணி சமூக பொறியியல் மூலம் தாக்குபவர் கட்டுப்படுத்தும் கட்டளைகளை இயக்கச் செய்வதற்காக வடிவமைக்கப்பட்டுள்ளது. இந்த நுட்பத்தின் சமீபத்திய பரிணாம வளர்ச்சி CrashFix என்ற குறியீட்டுப் பெயரிடப்பட்டுள்ளது, மேலும் இறுதியில் ModeloRAT எனப்படும் முன்னர் ஆவணப்படுத்தப்படாத தொலைதூர அணுகல் ட்ரோஜனை வழங்குகிறது.
404 TDS, Chaya_002, LandUpdate808, மற்றும் TAG-124 என்றும் கண்காணிக்கப்படும் KongTuke, ஒரு போக்குவரத்து விநியோக அமைப்பாக (TDS) செயல்படுகிறது. இது பாதிக்கப்பட்ட சூழல்களை சுயவிவரப்படுத்துகிறது மற்றும் தேர்ந்தெடுக்கப்பட்ட இலக்குகளை தீங்கிழைக்கும் பேலோட் டெலிவரி உள்கட்டமைப்புக்கு திருப்பி விடுகிறது. இரண்டாம் நிலை சமரசங்களை செயல்படுத்த, பாதிக்கப்பட்ட ஹோஸ்ட்களுக்கான அணுகல் பின்னர் ransomware ஆபரேட்டர்கள் உட்பட பிற அச்சுறுத்தல் நடிகர்களுக்கு விற்கப்படுகிறது அல்லது மாற்றப்படுகிறது.
TAG-124 உள்கட்டமைப்பைப் பயன்படுத்துவதை முன்னர் கவனித்த அச்சுறுத்தல் குழுக்களில் Rhysida ransomware, Interlock ransomware மற்றும் TA866 (Asylum Ambuscade) ஆகியவை அடங்கும். ஏப்ரல் 2025 அறிக்கையின்படி, இந்தச் செயல்பாடு SocGholish மற்றும் D3F@ck Loader உடன் இணைக்கப்பட்டுள்ளது.
பொருளடக்கம்
Chrome இணைய அங்காடியிலிருந்து Compromise வரை
ஆவணப்படுத்தப்பட்ட தொற்று சங்கிலியில், பாதிக்கப்பட்டவர்கள் ஒரு விளம்பரத் தடுப்பானை ஆன்லைனில் தேடினர், மேலும் அவர்களுக்கு ஒரு தீங்கிழைக்கும் விளம்பரம் வழங்கப்பட்டது, அது அவர்களை அதிகாரப்பூர்வ Chrome வலை அங்காடியில் நேரடியாக ஹோஸ்ட் செய்யப்பட்ட உலாவி நீட்டிப்புக்கு திருப்பி விடப்பட்டது.
'NexShield - Advanced Web Guardian' (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi) என்று பெயரிடப்பட்ட இந்த நீட்டிப்பு, விளம்பரங்கள், டிராக்கர்கள், மால்வேர் மற்றும் ஊடுருவும் வலை உள்ளடக்கத்தைத் தடுப்பதாகக் கூறி தன்னை ஒரு 'இறுதி தனியுரிமைக் கவசமாக' காட்டிக் கொண்டது. இது அகற்றப்படுவதற்கு முன்பு, குறைந்தது 5,000 பதிவிறக்கங்களைக் குவித்தது.
தொழில்நுட்ப ரீதியாக, இந்த நீட்டிப்பு ஒரு சட்டபூர்வமான விளம்பரத் தடுப்பு நீட்டிப்பின் கிட்டத்தட்ட ஒரே மாதிரியான குளோன் ஆகும். இருப்பினும், பழக்கமான இடைமுகத்தின் கீழ், உலாவி 'அசாதாரணமாக நின்றுவிட்டதாக' கூறும் ஒரு ஜோடிக்கப்பட்ட பாதுகாப்பு எச்சரிக்கையைக் காண்பிக்கும் வகையில் வடிவமைக்கப்பட்டுள்ளது, மேலும் பயனர்கள் மைக்ரோசாஃப்ட் எட்ஜுடன் இணைக்கப்பட்டதாகக் கூறப்படும் போலி ஸ்கேனைத் தொடங்கத் தூண்டுகிறது.
உற்பத்தி அறக்கட்டளைக்கு பொறியியலில் ஒரு சரிவு
பயனர் ஸ்கேன் இயக்க கிளிக் செய்தால், நீட்டிப்பு விண்டோஸ் ரன் உரையாடலைத் திறந்து ஏற்கனவே கிளிப்போர்டுக்கு நகலெடுக்கப்பட்ட கட்டளையை இயக்குவதற்கான வழிமுறைகளைக் காண்பிக்கும். இது நடந்தவுடன், நீட்டிப்பு வேண்டுமென்றே ஒரு சேவை மறுப்பு வழக்கத்தைத் தொடங்கியது, இது ஒரு எல்லையற்ற சுழற்சியின் மூலம் முடிவற்ற இயக்க நேர போர்ட் இணைப்புகளை உருவாக்கியது, அதே படியை ஒரு பில்லியன் முறை வரை மீண்டும் செய்தது.
இந்த வளக் குறைவால் நினைவகம் மிகவும் நுகரப்பட்டது, உலாவி மெதுவாகவும், பதிலளிக்காமலும், இறுதியில் செயலிழக்கவும் காரணமாக அமைந்தது. வேண்டுமென்றே ஏற்பட்ட நிலையற்ற தன்மை ஒரு பக்க விளைவு அல்ல, அது சமூக பொறியியல் தூண்டுதலாகும்.
நிறுவப்பட்டதும், நீட்டிப்பு ஒரு தனித்துவமான அடையாளங்காட்டியை nexsnield[.]com இல் உள்ள தாக்குபவர் கட்டுப்படுத்தும் சேவையகத்திற்கு அனுப்பியது, இது பாதிக்கப்பட்டவரைக் கண்காணிப்பதை செயல்படுத்தியது. தீங்கிழைக்கும் செயல்பாடு நிறுவிய பின் 60 நிமிடங்கள் தாமதமானது, அதன் பிறகு அது ஒவ்வொரு 10 நிமிடங்களுக்கும் மீண்டும் செயல்படுத்தப்பட்டது.
DoS வழக்கத்தைத் தொடங்குவதற்கு முன், நீட்டிப்பு உள்ளூர் சேமிப்பகத்தில் ஒரு நேர முத்திரையைச் சேமித்து வைத்தது. பயனர் வலுக்கட்டாயமாக வெளியேறி உலாவியை மறுதொடக்கம் செய்தபோது, ஒரு தொடக்க கையாளுபவர் இந்த மதிப்பைச் சரிபார்த்தார். இருந்தால், CrashFix பாப்-அப் தோன்றி பின்னர் நேர முத்திரையை நீக்கியது, எச்சரிக்கை அதன் காரணத்தை விட செயலிழப்பின் விளைவு என்ற மாயையை உருவாக்கியது.
பாதிக்கப்பட்ட UUID இருந்தது, கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகம் வெற்றிகரமாக பதிலளித்தது, மற்றும் பாப்-அப் ஒரு முறையாவது திறக்கப்பட்டு மூடப்பட்டது ஆகிய மூன்று நிபந்தனைகள் பூர்த்தி செய்யப்பட்டபோது மட்டுமே DoS வழக்கம் செயல்படுத்தப்பட்டது. இந்த தர்க்கம், பேலோட் லூப்பை முழுமையாக செயல்படுத்துவதற்கு முன்பு, ஆபரேட்டர்கள் பயனர் தொடர்புகளை உறுதிப்படுத்த விரும்பினர் என்பதைக் குறிக்கிறது.
இதன் விளைவாக ஒரு தன்னிறைவு சுழற்சி ஏற்பட்டது. ஒரு முடக்கத்திற்குப் பிறகு ஒவ்வொரு கட்டாய மறுதொடக்கமும் போலி எச்சரிக்கையை மீண்டும் தூண்டியது. நீட்டிப்பு நிறுவப்பட்டிருந்தால், பத்து நிமிடங்களுக்குப் பிறகு செயலிழப்பு நடத்தை மீண்டும் தொடங்கியது.
குழப்பம், பகுப்பாய்வு எதிர்ப்பு மற்றும் நிலத்திற்கு வெளியே வாழ்வது
போலியான பாப்-அப் பல பகுப்பாய்வு எதிர்ப்பு நடவடிக்கைகளை செயல்படுத்தியது, வலது கிளிக் சூழல் மெனுக்களை முடக்கியது மற்றும் டெவலப்பர் கருவிகளை அணுக பொதுவாகப் பயன்படுத்தப்படும் விசைப்பலகை குறுக்குவழிகளைத் தடுத்தது.
CrashFix கட்டளை, 199.217.98[.]108 இலிருந்து இரண்டாம் நிலை பேலோடை மீட்டெடுத்து செயல்படுத்த, முறையான Windows பயன்பாட்டு finger.exe ஐ தவறாகப் பயன்படுத்தியது. KongTuke இன் ஃபிங்கர் பயன்பாட்டைப் பயன்படுத்துவது முன்னர் டிசம்பர் 2025 இல் ஆவணப்படுத்தப்பட்டது.
பதிவிறக்கம் செய்யப்பட்ட பேலோட் என்பது ஒரு பவர்ஷெல் கட்டளையாகும், இது கூடுதல் ஸ்கிரிப்டைப் பெற்றது, இது அதன் உள்ளடக்கத்தை பல அடுக்கு Base64 குறியாக்கம் மற்றும் XOR செயல்பாடுகள் மூலம் மறைத்தது, இது SocGholish பிரச்சாரங்களுடன் நீண்டகாலமாக தொடர்புடைய நுட்பங்களை எதிரொலித்தது.
மறைகுறியாக்கப்பட்டதும், ஸ்கிரிப்ட் 50க்கும் மேற்பட்ட அறியப்பட்ட பகுப்பாய்வு கருவிகள் மற்றும் மெய்நிகர் இயந்திர குறிகாட்டிகளுக்கான செயலில் உள்ள செயல்முறைகளை ஸ்கேன் செய்து, ஏதேனும் கண்டறியப்பட்டால் உடனடியாக நிறுத்தப்பட்டது. இது கணினி டொமைனில் இணைக்கப்பட்டதா அல்லது ஒரு தனித்த பணிக்குழுவின் ஒரு பகுதியாக உள்ளதா என்பதையும் மதிப்பீடு செய்து, பின்னர் பின்வருவனவற்றைக் கொண்ட அதே சேவையகத்திற்கு ஒரு HTTP POST கோரிக்கையை அனுப்பியது:
- நிறுவப்பட்ட வைரஸ் தடுப்பு தயாரிப்புகளின் பட்டியல்
- ஒரு ஹோஸ்ட் வகைப்பாடு கொடி: தனித்த அமைப்புகளுக்கு 'ABCD111' மற்றும் டொமைன்-இணைந்த இயந்திரங்களுக்கு 'BCDA222'
மாதிரிராட்: பெருநிறுவன சூழல்களுக்கு ஏற்றவாறு வடிவமைக்கப்பட்டது.
பாதிக்கப்பட்ட அமைப்பு டொமைன்-இணைந்ததாக அடையாளம் காணப்பட்டால், தொற்று சங்கிலி பைதான் அடிப்படையிலான விண்டோஸ் ரிமோட் அக்சஸ் ட்ரோஜானான மொடெலோராட்டைப் பயன்படுத்துவதில் உச்சத்தை அடைந்தது. தீம்பொருள் RC4-குறியாக்கப்பட்ட சேனல்கள் வழியாக 170.168.103[.]208 அல்லது 158.247.252[.]178 இல் கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகங்களுடன் தொடர்பு கொள்கிறது.
மொடெலோராட் விண்டோஸ் ரெஜிஸ்ட்ரி மூலம் நிலைத்தன்மையை நிறுவுகிறது மற்றும் பைனரிகள், டிஎல்எல்கள், பைதான் ஸ்கிரிப்டுகள் மற்றும் பவர்ஷெல் கட்டளைகளை செயல்படுத்துவதை ஆதரிக்கிறது. இது உள்ளமைக்கப்பட்ட வாழ்க்கைச் சுழற்சி கட்டுப்பாடுகளையும் உள்ளடக்கியது, இது ஆபரேட்டர்கள் தொலைதூரத்தில் இம்பிளாண்டைப் புதுப்பிக்க அல்லது பிரத்யேக கட்டளைகளைப் பயன்படுத்தி அதை நிறுத்த அனுமதிக்கிறது.
நடத்தை கண்டறிதலைத் தவிர்ப்பதற்காக வடிவமைக்கப்பட்ட பல-நிலை பீக்கனிங் உத்தியை RAT செயல்படுத்துகிறது:
- சாதாரண நிலைமைகளின் கீழ், இது ஒவ்வொரு 300 வினாடிகளுக்கும் ஒரு முறை ஒளிரும்.
- சேவையகத்தால் செயலில் உள்ள பயன்முறைக்கு மாற்றப்படும்போது, அது கட்டமைக்கக்கூடிய இடைவெளியில் தீவிரமாக வாக்களிக்கிறது, இயல்புநிலையாக 150 மில்லி விநாடிகளாக இருக்கும்.
- ஆறு தொடர்ச்சியான தொடர்பு தோல்விகளுக்குப் பிறகு, அது 900 வினாடி இடைவெளியில் பின்வாங்குகிறது.
- ஒரு முறை தோல்வியடைந்த பிறகு, 150 வினாடிகளுக்குப் பிறகு மீண்டும் இணைக்க முயற்சிக்கிறது, பின்னர் நிலையான நேரத்திற்குத் திரும்புகிறது.
இந்த தகவமைப்பு தர்க்கம், தேவைப்படும்போது விரைவான ஆபரேட்டர் தொடர்புகளை ஆதரிக்கும் அதே வேளையில், ModeloRAT ஐ நெட்வொர்க் போக்குவரத்தில் கலக்க அனுமதிக்கிறது.
இரண்டு பாதை தொற்று உத்தி
டொமைன்-இணைந்த அமைப்புகளில் ModeloRAT இன் பயன்பாடு பெருநிறுவன சூழல்கள் மற்றும் ஆழமான நெட்வொர்க் ஊடுருவலில் கவனம் செலுத்துவதை வலுவாகக் குறிக்கிறது என்றாலும், தனித்த இயந்திரங்கள் வேறுபட்ட பல-நிலை வரிசை மூலம் வழிநடத்தப்பட்டன. அந்த சந்தர்ப்பங்களில், கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகம் இறுதியில் 'TEST PAYLOAD!!!!' என்ற செய்தியுடன் பதிலளித்தது, இந்த இணையான தொற்று பாதை இன்னும் வளர்ச்சியில் இருக்கலாம் என்பதைக் குறிக்கிறது.
பெரிய படம்: வடிவமைப்பால் சமூக பொறியியல்
KongTuke இன் CrashFix பிரச்சாரம், நவீன அச்சுறுத்தல் நடிகர்கள் சமூக பொறியியலை முழுமையாக வடிவமைக்கப்பட்ட கட்டுப்பாட்டு வளையமாக எவ்வாறு செம்மைப்படுத்துகிறார்கள் என்பதை விளக்குகிறது. நம்பகமான திறந்த மூல திட்டத்தைப் போல ஆள்மாறாட்டம் செய்து, உலாவியை வேண்டுமென்றே சீர்குலைத்து, பின்னர் ஒரு போலி தீர்வை வழங்குவதன் மூலம், தாக்குபவர்கள் பயனர் விரக்தியை இணக்கமாக மாற்றினர்.
இந்த செயல்பாடு, உலாவி நீட்டிப்புகள், நம்பகமான சந்தைகள் மற்றும் நிலத்திற்கு வெளியே வாழும் கருவிகள் ஆகியவற்றை ஒரு மீள் தொற்று சங்கிலியாக எவ்வாறு இணைக்க முடியும் என்பதை நிரூபிக்கிறது, இது திருட்டுத்தனமாக மட்டும் அல்ல, மாறாக பாதிக்கப்பட்டவரையே தாக்குதலைத் தூண்டுவதற்கு மீண்டும் மீண்டும் கையாளுவதன் மூலம் தொடர்கிறது.
