క్రాష్‌ఫిక్స్ క్రోమ్ ఎక్స్‌టెన్షన్

సైబర్ భద్రతా పరిశోధకులు కాంగ్‌ట్యూక్ అని పిలువబడే ఒక క్రియాశీల ప్రచారాన్ని కనుగొన్నారు, ఇది ప్రకటన బ్లాకర్‌గా నటిస్తున్న హానికరమైన గూగుల్ క్రోమ్ ఎక్స్‌టెన్షన్‌ను దుర్వినియోగం చేస్తుంది. ఈ ఎక్స్‌టెన్షన్ ఉద్దేశపూర్వకంగా బ్రౌజర్‌ను క్రాష్ చేయడానికి మరియు క్లిక్‌ఫిక్స్-శైలి సోషల్ ఇంజనీరింగ్ ద్వారా దాడి చేసేవారి-నియంత్రిత ఆదేశాలను అమలు చేయడానికి బాధితులను మార్చటానికి రూపొందించబడింది. ఈ టెక్నిక్ యొక్క తాజా పరిణామానికి క్రాష్‌ఫిక్స్ అనే కోడ్‌నేమ్ ఇవ్వబడింది మరియు చివరికి మోడెలోరాట్ అని పిలువబడే గతంలో నమోదు చేయని రిమోట్ యాక్సెస్ ట్రోజన్‌ను అందిస్తుంది.

404 TDS, Chaya_002, LandUpdate808, మరియు TAG-124 గా కూడా ట్రాక్ చేయబడిన KongTuke, ట్రాఫిక్ పంపిణీ వ్యవస్థ (TDS) గా పనిచేస్తుంది. ఇది బాధితుల వాతావరణాలను ప్రొఫైల్ చేస్తుంది మరియు ఎంచుకున్న లక్ష్యాలను హానికరమైన పేలోడ్ డెలివరీ మౌలిక సదుపాయాలకు దారి మళ్లిస్తుంది. ద్వితీయ-దశ రాజీలను ప్రారంభించడానికి, సోకిన హోస్ట్‌లకు యాక్సెస్ విక్రయించబడుతుంది లేదా ransomware ఆపరేటర్‌లతో సహా ఇతర ముప్పు నటులకు బదిలీ చేయబడుతుంది.

TAG-124 మౌలిక సదుపాయాలను ఉపయోగించుకుంటున్నట్లు గతంలో గమనించిన బెదిరింపు సమూహాలలో Rhysida ransomware, Interlock ransomware మరియు TA866 (Asylum Ambuscade) ఉన్నాయి. ఏప్రిల్ 2025 నివేదిక ప్రకారం, ఈ కార్యాచరణ SocGholish మరియు D3F@ck లోడర్‌లకు కూడా లింక్ చేయబడింది.

Chrome వెబ్ స్టోర్ నుండి కాంప్రమైజ్ వరకు

డాక్యుమెంట్ చేయబడిన ఇన్ఫెక్షన్ గొలుసులో, బాధితులు ఆన్‌లైన్‌లో ప్రకటన బ్లాకర్ కోసం శోధించారు మరియు అధికారిక Chrome వెబ్ స్టోర్‌లో నేరుగా హోస్ట్ చేయబడిన బ్రౌజర్ పొడిగింపుకు వారిని దారి మళ్లించే హానికరమైన ప్రకటనను అందించారు.

'NexShield - అడ్వాన్స్‌డ్ వెబ్ గార్డియన్' (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi) అనే ఈ ఎక్స్‌టెన్షన్, ప్రకటనలు, ట్రాకర్లు, మాల్వేర్ మరియు అనుచిత వెబ్ కంటెంట్‌ను బ్లాక్ చేయడానికి తనను తాను 'అంతిమ గోప్యతా కవచం'గా చూపించుకుంది. దీనిని తొలగించే ముందు, ఇది కనీసం 5,000 డౌన్‌లోడ్‌లను సేకరించింది.

సాంకేతికంగా, ఈ పొడిగింపు చట్టబద్ధమైన ప్రకటన-నిరోధించే పొడిగింపు యొక్క దాదాపు ఒకేలాంటి క్లోన్. అయితే, సుపరిచితమైన ఇంటర్‌ఫేస్ కింద, బ్రౌజర్ 'అసాధారణంగా ఆగిపోయింది' అని పేర్కొంటూ మరియు మైక్రోసాఫ్ట్ ఎడ్జ్‌తో ముడిపడి ఉన్నట్లుగా నకిలీ స్కాన్‌ను ప్రారంభించమని వినియోగదారులను ప్రేరేపిస్తుందని పేర్కొంటూ ఒక కల్పిత భద్రతా హెచ్చరికను ప్రదర్శించడానికి ఇది రూపొందించబడింది.

తయారీ ట్రస్ట్ కు ఇంజనీరింగ్ క్రాష్

వినియోగదారుడు స్కాన్‌ను అమలు చేయడానికి క్లిక్ చేస్తే, ఆ ఎక్స్‌టెన్షన్ విండోస్ రన్ డైలాగ్‌ను తెరిచి, ఇప్పటికే క్లిప్‌బోర్డ్‌కు కాపీ చేయబడిన కమాండ్‌ను అమలు చేయడానికి సూచనలను ప్రదర్శిస్తుంది. ఇది జరిగిన వెంటనే, ఎక్స్‌టెన్షన్ ఉద్దేశపూర్వకంగా ఒక సర్వీస్ తిరస్కరణ దినచర్యను ప్రారంభించింది, ఇది అనంతమైన లూప్ ద్వారా అంతులేని రన్‌టైమ్ పోర్ట్ కనెక్షన్‌లను సృష్టించింది, అదే దశను ఒక బిలియన్ సార్లు పునరావృతం చేసింది.

ఈ వనరు అలసట వలన మెమరీ వినియోగం తీవ్రంగా తగ్గి, బ్రౌజర్ నెమ్మదించి, స్పందించకుండా, చివరికి క్రాష్ అయ్యేలా చేసింది. ఉద్దేశపూర్వక అస్థిరత దుష్ప్రభావం కాదు, అది సోషల్ ఇంజనీరింగ్ ట్రిగ్గర్.

ఇన్‌స్టాల్ చేసిన తర్వాత, ఎక్స్‌టెన్షన్ ఒక ప్రత్యేకమైన ఐడెంటిఫైయర్‌ను nexsnield[.]com వద్ద దాడి చేసేవారి నియంత్రణలో ఉన్న సర్వర్‌కు ప్రసారం చేస్తుంది, బాధితుల ట్రాకింగ్‌ను అనుమతిస్తుంది. ఇన్‌స్టాలేషన్ తర్వాత హానికరమైన కార్యాచరణ 60 నిమిషాలు ఆలస్యం అయింది, ఆ తర్వాత అది ప్రతి 10 నిమిషాలకు తిరిగి అమలు అవుతుంది.

DoS రొటీన్‌ను ప్రారంభించడానికి ముందు, ఎక్స్‌టెన్షన్ స్థానిక నిల్వలో టైమ్‌స్టాంప్‌ను నిల్వ చేసింది. వినియోగదారు బలవంతంగా నిష్క్రమించి బ్రౌజర్‌ను పునఃప్రారంభించినప్పుడు, స్టార్టప్ హ్యాండ్లర్ ఈ విలువ కోసం తనిఖీ చేసింది. ఉంటే, CrashFix పాప్-అప్ కనిపించింది మరియు ఆపై టైమ్‌స్టాంప్‌ను తొలగించింది, హెచ్చరిక క్రాష్ యొక్క పరిణామం అని భ్రమను సృష్టించింది, దాని కారణం కాదు.

DoS రొటీన్ మూడు షరతులు నెరవేరినప్పుడు మాత్రమే అమలు చేయబడుతుంది: బాధిత UUID ఉనికిలో ఉంది, కమాండ్-అండ్-కంట్రోల్ సర్వర్ విజయవంతంగా స్పందించింది మరియు పాప్-అప్ కనీసం ఒక్కసారైనా తెరవబడి మూసివేయబడింది. ఈ తర్కం ఆపరేటర్లు పేలోడ్ లూప్‌ను పూర్తిగా సక్రియం చేయడానికి ముందు వినియోగదారు పరస్పర చర్యను నిర్ధారించాలనుకుంటున్నారని బలంగా సూచిస్తుంది.

ఫలితంగా స్వయం-స్థిరమైన చక్రం ఏర్పడింది. స్తంభించిన తర్వాత ప్రతి బలవంతంగా పునఃప్రారంభించినప్పుడు నకిలీ హెచ్చరిక తిరిగి ప్రేరేపించబడింది. పొడిగింపు ఇన్‌స్టాల్ చేయబడి ఉంటే, పది నిమిషాల తర్వాత క్రాష్ ప్రవర్తన తిరిగి ప్రారంభమైంది.

అస్పష్టత, విశ్లేషణ వ్యతిరేకత మరియు భూమికి దూరంగా జీవించడం

నకిలీ పాప్-అప్ అనేక యాంటీ-ఎనాలిసిస్ చర్యలను అమలు చేసింది, కుడి-క్లిక్ సందర్భ మెనులను నిలిపివేసింది మరియు డెవలపర్ సాధనాలను యాక్సెస్ చేయడానికి సాధారణంగా ఉపయోగించే కీబోర్డ్ షార్ట్‌కట్‌లను బ్లాక్ చేసింది.

CrashFix కమాండ్ 199.217.98[.]108 నుండి సెకండరీ-స్టేజ్ పేలోడ్‌ను తిరిగి పొందడానికి మరియు అమలు చేయడానికి చట్టబద్ధమైన Windows యుటిలిటీ finger.exeని దుర్వినియోగం చేసింది. KongTuke ఫింగర్ యుటిలిటీని ఉపయోగించడం గతంలో డిసెంబర్ 2025లో నమోదు చేయబడింది.

డౌన్‌లోడ్ చేయబడిన పేలోడ్ అనేది పవర్‌షెల్ కమాండ్, ఇది అదనపు స్క్రిప్ట్‌ను పొందింది, ఇది దాని కంటెంట్‌ను బహుళ లేయర్‌ల Base64 ఎన్‌కోడింగ్ మరియు XOR ఆపరేషన్‌ల ద్వారా దాచిపెట్టింది, ఇది SocGholish ప్రచారాలతో చాలా కాలంగా అనుబంధించబడిన పద్ధతులను ప్రతిధ్వనిస్తుంది.

డీక్రిప్ట్ చేసిన తర్వాత, స్క్రిప్ట్ 50 కంటే ఎక్కువ తెలిసిన విశ్లేషణ సాధనాలు మరియు వర్చువల్ మెషిన్ సూచికల కోసం యాక్టివ్ ప్రాసెస్‌లను స్కాన్ చేసి, ఏవైనా కనుగొనబడితే వెంటనే ముగించబడుతుంది. ఇది సిస్టమ్ డొమైన్-జాయిన్ చేయబడిందా లేదా స్వతంత్ర వర్క్‌గ్రూప్‌లో భాగమా అని కూడా మూల్యాంకనం చేసి, ఆపై కింది వాటిని కలిగి ఉన్న అదే సర్వర్‌కు HTTP POST అభ్యర్థనను తిరిగి పంపింది:

• ఇన్‌స్టాల్ చేయబడిన యాంటీవైరస్ ఉత్పత్తుల జాబితా
• హోస్ట్ వర్గీకరణ ఫ్లాగ్: స్వతంత్ర వ్యవస్థల కోసం 'ABCD111' మరియు డొమైన్-జాయిన్డ్ యంత్రాల కోసం 'BCDA222'

మోడెలోరాట్: కార్పొరేట్ వాతావరణాలకు అనుగుణంగా రూపొందించబడింది

సోకిన వ్యవస్థను డొమైన్-జాయిన్డ్ గా గుర్తించినట్లయితే, పైథాన్ ఆధారిత విండోస్ రిమోట్ యాక్సెస్ ట్రోజన్ అయిన మోడెలోరాట్ యొక్క విస్తరణలో ఇన్ఫెక్షన్ గొలుసు ముగుస్తుంది. మాల్వేర్ 170.168.103[.]208 లేదా 158.247.252[.]178 వద్ద కమాండ్-అండ్-కంట్రోల్ సర్వర్‌లతో RC4-ఎన్‌క్రిప్టెడ్ ఛానెల్‌ల ద్వారా కమ్యూనికేట్ చేస్తుంది.

మోడెలోరాట్ విండోస్ రిజిస్ట్రీ ద్వారా నిలకడను ఏర్పరుస్తుంది మరియు బైనరీలు, DLLలు, పైథాన్ స్క్రిప్ట్‌లు మరియు పవర్‌షెల్ ఆదేశాల అమలుకు మద్దతు ఇస్తుంది. ఇది అంతర్నిర్మిత లైఫ్‌సైకిల్ నియంత్రణలను కూడా కలిగి ఉంటుంది, ఆపరేటర్లు ఇంప్లాంట్‌ను రిమోట్‌గా నవీకరించడానికి లేదా అంకితమైన ఆదేశాలను ఉపయోగించి దానిని ముగించడానికి అనుమతిస్తుంది.

ప్రవర్తనా గుర్తింపును తప్పించుకోవడానికి రూపొందించబడిన బహుళ-స్థాయి బీకనింగ్ వ్యూహాన్ని RAT అమలు చేస్తుంది:

• సాధారణ పరిస్థితుల్లో, ఇది ప్రతి 300 సెకన్లకు ఒకసారి వెలుగుతుంది.
• సర్వర్ ద్వారా యాక్టివ్ మోడ్‌లోకి మారినప్పుడు, అది కాన్ఫిగర్ చేయగల విరామంలో దూకుడుగా పోల్ చేస్తుంది, డిఫాల్ట్‌గా 150 మిల్లీసెకన్లకు మారుతుంది.
• వరుసగా ఆరు కమ్యూనికేషన్ వైఫల్యాల తర్వాత, అది 900 సెకన్ల విరామాలకు తిరిగి వస్తుంది.
• ఒకే ఒక్క వైఫల్యం తర్వాత, అది ప్రామాణిక సమయానికి తిరిగి వచ్చే ముందు 150 సెకన్ల తర్వాత తిరిగి కనెక్ట్ అవ్వడానికి ప్రయత్నిస్తుంది.

ఈ అడాప్టివ్ లాజిక్ మోడెలోరాట్‌ను నెట్‌వర్క్ ట్రాఫిక్‌లో కలపడానికి అనుమతిస్తుంది, అదే సమయంలో అవసరమైనప్పుడు వేగవంతమైన ఆపరేటర్ ఇంటరాక్షన్‌కు మద్దతు ఇస్తుంది.

రెండు-మార్గాల సంక్రమణ వ్యూహం

డొమైన్-జాయిన్డ్ సిస్టమ్‌లపై మోడెలోరాట్ విస్తరణ కార్పొరేట్ వాతావరణాలు మరియు లోతైన నెట్‌వర్క్ వ్యాప్తిపై దృష్టిని బలంగా సూచిస్తున్నప్పటికీ, స్వతంత్ర యంత్రాలు వేరే బహుళ-దశల క్రమం ద్వారా మళ్ళించబడ్డాయి. ఆ సందర్భాలలో, కమాండ్-అండ్-కంట్రోల్ సర్వర్ చివరికి 'TEST PAYLOAD!!!!' అనే సందేశంతో ప్రతిస్పందించింది, ఈ సమాంతర సంక్రమణ మార్గం ఇంకా అభివృద్ధిలో ఉండవచ్చని సూచిస్తుంది.

ది బిగ్గర్ పిక్చర్: డిజైన్ ద్వారా సోషల్ ఇంజనీరింగ్

కాంగ్‌ట్యూక్ యొక్క క్రాష్‌ఫిక్స్ ప్రచారం ఆధునిక బెదిరింపు నటులు సోషల్ ఇంజనీరింగ్‌ను పూర్తిగా ఇంజనీరింగ్ చేయబడిన నియంత్రణ లూప్‌గా ఎలా మెరుగుపరుస్తున్నారో వివరిస్తుంది. విశ్వసనీయ ఓపెన్-సోర్స్ ప్రాజెక్ట్‌ను అనుకరించడం ద్వారా, బ్రౌజర్‌ను ఉద్దేశపూర్వకంగా అస్థిరపరచడం ద్వారా, ఆపై నకిలీ పరిష్కారాన్ని ప్రదర్శించడం ద్వారా, దాడి చేసేవారు వినియోగదారు నిరాశను సమ్మతిగా మార్చారు.

బ్రౌజర్ ఎక్స్‌టెన్షన్‌లు, విశ్వసనీయ మార్కెట్‌ప్లేస్‌లు మరియు లివింగ్-ఆఫ్-ది-ల్యాండ్ టూల్స్‌ను ఒక స్థితిస్థాపక ఇన్ఫెక్షన్ గొలుసుగా ఎలా అనుసంధానించవచ్చో ఈ ఆపరేషన్ ప్రదర్శిస్తుంది, ఇది స్టెల్త్ ద్వారా మాత్రమే కాకుండా, బాధితుడిని పదే పదే దాడిని ప్రేరేపించడం ద్వారా కొనసాగుతుంది.