ส่วนขยาย CrashFix สำหรับ Chrome

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญที่กำลังดำเนินอยู่ ซึ่งตั้งชื่อว่า KongTuke โดยใช้ประโยชน์จากส่วนขยาย Google Chrome ที่เป็นอันตรายซึ่งปลอมตัวเป็นโปรแกรมบล็อกโฆษณา ส่วนขยายนี้ถูกออกแบบมาเพื่อทำให้เบราว์เซอร์ล่มโดยเจตนา และหลอกล่อเหยื่อให้ดำเนินการตามคำสั่งที่ผู้โจมตีควบคุมผ่านเทคนิคการหลอกลวงทางสังคมแบบ ClickFix วิวัฒนาการล่าสุดของเทคนิคนี้มีชื่อรหัสว่า CrashFix และในที่สุดก็ส่งมอบมัลแวร์ประเภทโทรจันสำหรับการเข้าถึงระยะไกลที่ไม่เคยมีการบันทึกมาก่อน ซึ่งรู้จักกันในชื่อ ModeloRAT

KongTuke หรือที่รู้จักกันในชื่อ 404 TDS, Chaya_002, LandUpdate808 และ TAG-124 ทำงานเป็นระบบกระจายการรับส่งข้อมูล (TDS) โดยจะวิเคราะห์สภาพแวดล้อมของเหยื่อและเปลี่ยนเส้นทางเป้าหมายที่เลือกไปยังโครงสร้างพื้นฐานการส่งมอบเพย์โหลดที่เป็นอันตราย จากนั้นสิทธิ์ในการเข้าถึงโฮสต์ที่ติดไวรัสจะถูกขายหรือโอนไปยังผู้คุกคามรายอื่น รวมถึงผู้ดำเนินการแรนซัมแวร์ เพื่อให้สามารถโจมตีในขั้นตอนที่สองได้

กลุ่มภัยคุกคามที่เคยถูกตรวจพบว่าใช้โครงสร้างพื้นฐาน TAG-124 ได้แก่ แรนซัมแวร์ Rhysida, แรนซัมแวร์ Interlock และ TA866 (Asylum Ambuscade) นอกจากนี้ กิจกรรมดังกล่าวยังเชื่อมโยงกับ SocGholish และ D3F@ck Loader ด้วย ตามรายงานเมื่อเดือนเมษายน 2025

จาก Chrome Web Store สู่การประนีประนอม

ในห่วงโซ่การติดเชื้อที่ได้รับการบันทึกไว้ เหยื่อได้ค้นหาโปรแกรมบล็อกโฆษณาทางออนไลน์ และพบกับโฆษณาที่เป็นอันตรายซึ่งนำพวกเขาไปยังส่วนขยายเบราว์เซอร์ที่โฮสต์อยู่บน Chrome Web Store อย่างเป็นทางการ

ส่วนขยายที่ชื่อว่า 'NexShield – Advanced Web Guardian' (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi) นำเสนอตัวเองว่าเป็น 'เกราะป้องกันความเป็นส่วนตัวขั้นสุดยอด' โดยอ้างว่าสามารถบล็อกโฆษณา ตัวติดตาม มัลแวร์ และเนื้อหาเว็บที่รุกล้ำความเป็นส่วนตัวได้ ก่อนที่จะถูกลบออก มียอดดาวน์โหลดอย่างน้อย 5,000 ครั้ง

ในทางเทคนิคแล้ว ส่วนขยายนี้เป็นโปรแกรมเลียนแบบส่วนขยายบล็อกโฆษณาที่ถูกต้องตามกฎหมายแทบทุกประการ อย่างไรก็ตาม ภายใต้ส่วนติดต่อผู้ใช้ที่คุ้นเคยนั้น มันถูกออกแบบมาเพื่อแสดงคำเตือนด้านความปลอดภัยที่สร้างขึ้นมา โดยระบุว่าเบราว์เซอร์ "หยุดทำงานผิดปกติ" และกระตุ้นให้ผู้ใช้เริ่มการสแกนปลอมที่อ้างว่าเชื่อมโยงกับ Microsoft Edge

การวางแผนให้เกิดวิกฤตเพื่อสร้างความไว้วางใจ

หากผู้ใช้คลิกเพื่อเรียกใช้การสแกน ส่วนขยายจะแสดงคำแนะนำให้เปิดกล่องโต้ตอบเรียกใช้ของ Windows และเรียกใช้คำสั่งที่คัดลอกไว้ในคลิปบอร์ดแล้ว ทันทีที่เกิดเหตุการณ์นี้ ส่วนขยายจะจงใจเริ่มกระบวนการปฏิเสธการให้บริการ (Denial-of-Service) ซึ่งสร้างการเชื่อมต่อพอร์ตขณะทำงานแบบไม่สิ้นสุดผ่านลูปอนันต์ ทำซ้ำขั้นตอนเดียวกันมากถึงหนึ่งพันล้านครั้ง

การใช้ทรัพยากรอย่างสิ้นเปลืองนี้ทำให้มีการใช้หน่วยความจำอย่างมาก ส่งผลให้เบราว์เซอร์ทำงานช้า ไม่ตอบสนอง และในที่สุดก็เกิดการขัดข้อง ความไม่เสถียรที่เกิดขึ้นโดยเจตนานี้ไม่ใช่ผลข้างเคียง แต่เป็นตัวกระตุ้นจากกลยุทธ์ทางสังคม

เมื่อติดตั้งแล้ว ส่วนขยายจะส่งตัวระบุเฉพาะไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมอยู่ที่ nexsnield[.]com ทำให้สามารถติดตามเหยื่อได้ กิจกรรมที่เป็นอันตรายจะล่าช้าไป 60 นาทีหลังจากการติดตั้ง จากนั้นจะทำงานซ้ำทุกๆ 10 นาที

ก่อนที่จะเริ่มกระบวนการโจมตีแบบ DoS ส่วนขยายจะบันทึกเวลาไว้ในพื้นที่จัดเก็บข้อมูลภายในเครื่อง เมื่อผู้ใช้บังคับปิดและเริ่มต้นเบราว์เซอร์ใหม่ ตัวจัดการการเริ่มต้นจะตรวจสอบค่านี้ หากมีอยู่ หน้าต่างป๊อปอัพ CrashFix จะปรากฏขึ้นแล้วลบเวลาดังกล่าว ทำให้เกิดภาพลวงตาว่าคำเตือนนั้นเป็นผลมาจากข้อผิดพลาด แทนที่จะเป็นสาเหตุของข้อผิดพลาด

ขั้นตอนการโจมตีแบบ DoS จะถูกดำเนินการก็ต่อเมื่อตรงตามเงื่อนไขสามประการ ได้แก่ UUID ของเหยื่อมีอยู่จริง เซิร์ฟเวอร์ควบคุมและสั่งการตอบสนองสำเร็จ และหน้าต่างป๊อปอัพถูกเปิดและปิดอย่างน้อยหนึ่งครั้ง ตรรกะนี้บ่งชี้อย่างชัดเจนว่าผู้ดำเนินการต้องการยืนยันการโต้ตอบของผู้ใช้ก่อนที่จะเปิดใช้งานลูปเพย์โหลดอย่างเต็มรูปแบบ

ผลที่ตามมาคือวงจรที่เกิดขึ้นซ้ำแล้วซ้ำเล่า ทุกครั้งที่มีการรีสตาร์ทแบบบังคับหลังจากโปรแกรมค้าง จะทำให้เกิดคำเตือนปลอมขึ้นอีกครั้ง หากส่วนขยายยังคงติดตั้งอยู่ การทำงานผิดพลาดก็จะกลับมาเกิดขึ้นอีกหลังจากสิบนาที

การปกปิดความจริง การต่อต้านการวิเคราะห์ และการดำรงชีวิตด้วยทรัพยากรธรรมชาติ

หน้าต่างป๊อปอัพปลอมนี้ได้ใช้มาตรการป้องกันการวิเคราะห์หลายอย่าง เช่น การปิดใช้งานเมนูบริบทคลิกขวา และการบล็อกแป้นพิมพ์ลัดที่มักใช้ในการเข้าถึงเครื่องมือสำหรับนักพัฒนา

คำสั่ง CrashFix ใช้ประโยชน์จากยูทิลิตี้ finger.exe ของ Windows ที่ถูกต้องตามกฎหมาย เพื่อดึงและเรียกใช้เพย์โหลดขั้นที่สองจาก 199.217.98[.]108 การใช้ยูทิลิตี้ Finger ของ KongTuke ได้รับการบันทึกไว้ก่อนหน้านี้ในเดือนธันวาคม 2025

ไฟล์ที่ดาวน์โหลดมานั้นเป็นคำสั่ง PowerShell ที่ดึงสคริปต์เพิ่มเติมมา ซึ่งซ่อนเนื้อหาไว้ด้วยการเข้ารหัส Base64 หลายชั้นและการดำเนินการ XOR ซึ่งเป็นเทคนิคที่เกี่ยวข้องกับแคมเปญของกลุ่ม SocGholish มานานแล้ว

เมื่อถอดรหัสเสร็จแล้ว สคริปต์จะสแกนหาโปรแกรมที่ทำงานอยู่เพื่อค้นหาเครื่องมือวิเคราะห์และตัวบ่งชี้เครื่องเสมือนที่รู้จักมากกว่า 50 รายการ และจะยุติการทำงานทันทีหากพบสิ่งใด นอกจากนี้ยังประเมินว่าระบบเข้าร่วมโดเมนหรือเป็นส่วนหนึ่งของเวิร์กกรุ๊ปแบบสแตนด์อโลน จากนั้นส่งคำขอ HTTP POST กลับไปยังเซิร์ฟเวอร์เดียวกันโดยมีข้อมูลดังนี้:

• รายชื่อโปรแกรมป้องกันไวรัสที่ติดตั้งไว้
• แฟล็กการจำแนกประเภทโฮสต์: 'ABCD111' สำหรับระบบแบบสแตนด์อโลน และ 'BCDA222' สำหรับเครื่องที่เข้าร่วมโดเมน

ModeloRAT: ออกแบบมาเพื่อสภาพแวดล้อมองค์กรโดยเฉพาะ

หากระบบที่ติดไวรัสถูกระบุว่าเข้าร่วมโดเมนแล้ว ห่วงโซ่การติดเชื้อจะสิ้นสุดลงด้วยการติดตั้ง ModeloRAT ซึ่งเป็นโทรจันสำหรับเข้าถึงระยะไกลบน Windows ที่เขียนด้วยภาษา Python มัลแวร์นี้สื่อสารผ่านช่องทางการเข้ารหัส RC4 กับเซิร์ฟเวอร์ควบคุมและสั่งการที่ 170.168.103[.]208 หรือ 158.247.252[.]178

ModeloRAT สร้างการคงอยู่ถาวรผ่านทางรีจิสทรีของ Windows และรองรับการเรียกใช้ไฟล์ไบนารี, DLL, สคริปต์ Python และคำสั่ง PowerShell นอกจากนี้ยังมีการควบคุมวงจรชีวิตในตัว ซึ่งช่วยให้ผู้ปฏิบัติงานสามารถอัปเดตหรือยุติการทำงานของโปรแกรมฝังตัวจากระยะไกลโดยใช้คำสั่งเฉพาะได้

RAT ใช้กลยุทธ์การส่งสัญญาณแบบหลายระดับที่ออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับพฤติกรรม:

• ภายใต้สภาวะปกติ สัญญาณจะดังขึ้นทุกๆ 300 วินาที
• เมื่อเซิร์ฟเวอร์เปลี่ยนเป็นโหมดทำงาน ระบบจะตรวจสอบสถานะอย่างต่อเนื่องตามช่วงเวลาที่กำหนดได้ โดยค่าเริ่มต้นคือ 150 มิลลิวินาที
• หลังจากการสื่อสารล้มเหลวติดต่อกันหกครั้ง ระบบจะลดช่วงเวลาการสื่อสารลงเหลือ 900 วินาที
• หลังจากการเชื่อมต่อล้มเหลวเพียงครั้งเดียว ระบบจะพยายามเชื่อมต่อใหม่หลังจาก 150 วินาที ก่อนที่จะกลับไปใช้เวลาตามปกติ

ตรรกะการปรับตัวนี้ช่วยให้ ModeloRAT สามารถผสานเข้ากับการรับส่งข้อมูลเครือข่ายได้อย่างราบรื่น ในขณะเดียวกันก็ยังคงรองรับการโต้ตอบอย่างรวดเร็วจากผู้ปฏิบัติงานเมื่อจำเป็น

กลยุทธ์การติดเชื้อแบบสองทาง

ในขณะที่การติดตั้ง ModeloRAT บนระบบที่เข้าร่วมโดเมนแสดงให้เห็นอย่างชัดเจนถึงการมุ่งเน้นไปที่สภาพแวดล้อมขององค์กรและการเจาะลึกเครือข่าย แต่เครื่องคอมพิวเตอร์แบบสแตนด์อโลนนั้นถูกส่งผ่านลำดับขั้นตอนหลายขั้นตอนที่แตกต่างกัน ในกรณีเหล่านั้น เซิร์ฟเวอร์ควบคุมและสั่งการจะตอบกลับด้วยข้อความ 'TEST PAYLOAD!!!!' ซึ่งบ่งชี้ว่าเส้นทางการติดเชื้อแบบคู่ขนานนี้อาจยังอยู่ในระหว่างการพัฒนา

ภาพรวมที่ใหญ่กว่า: การวางแผนทางสังคมอย่างมีแบบแผน

แคมเปญ CrashFix ของ KongTuke แสดงให้เห็นว่าผู้โจมตีในยุคปัจจุบันกำลังพัฒนาเทคนิควิศวกรรมสังคมให้กลายเป็นวงจรควบคุมที่สมบูรณ์แบบ โดยการปลอมตัวเป็นโครงการโอเพนซอร์สที่น่าเชื่อถือ จงใจทำให้เบราว์เซอร์ไม่เสถียร แล้วนำเสนอวิธีแก้ไขปลอม ผู้โจมตีได้เปลี่ยนความไม่พอใจของผู้ใช้ให้กลายเป็นการยอมทำตาม

ปฏิบัติการนี้แสดงให้เห็นว่าส่วนขยายของเบราว์เซอร์ ตลาดซอฟต์แวร์ที่น่าเชื่อถือ และเครื่องมือที่ใช้ทรัพยากรที่มีอยู่ สามารถผสานรวมกันเป็นห่วงโซ่การติดเชื้อที่ยืดหยุ่น ซึ่งคงอยู่ได้ไม่เพียงแค่ด้วยการซ่อนตัวเท่านั้น แต่ยังด้วยการหลอกล่อเหยื่อให้กระตุ้นการโจมตีด้วยตนเองซ้ำแล้วซ้ำเล่า