Multi-License Discount Quote
Banta sa Database Malware Extension ng Chrome para sa CrashFix

Extension ng Chrome para sa CrashFix

Sa pamamagitan ng Mezo sa Malware, Advanced Persistent Threat (APT)
Isalin To:

Natuklasan ng mga mananaliksik sa cybersecurity ang isang aktibong kampanya, na tinatawag na KongTuke, na umaabuso sa isang malisyosong extension ng Google Chrome na nagpapanggap na ad blocker. Ang extension na ito ay ginawa upang sadyang i-crash ang browser at manipulahin ang mga biktima sa pagsasagawa ng mga utos na kontrolado ng attacker sa pamamagitan ng social engineering na parang ClickFix. Ang pinakabagong ebolusyon ng pamamaraang ito ay pinangalanang CrashFix at sa huli ay naghahatid ng isang dating hindi dokumentadong remote access trojan na kilala bilang ModeloRAT.

Ang KongTuke, na sinusubaybayan din bilang 404 TDS, Chaya_002, LandUpdate808, at TAG-124, ay gumagana bilang isang sistema ng pamamahagi ng trapiko (TDS). Pino-profile nito ang mga kapaligiran ng biktima at inire-redirect ang mga piling target sa malisyosong imprastraktura ng paghahatid ng payload. Ang access sa mga nahawaang host ay ibinebenta o inililipat sa iba pang mga aktor ng banta, kabilang ang mga operator ng ransomware, upang paganahin ang mga secondary-stage na kompromiso.

Kabilang sa mga grupong nagbabanta sa paggamit ng imprastraktura ng TAG-124 ang Rhysida ransomware, Interlock ransomware, at TA866 (Asylum Ambuscade). Ang aktibidad ay naiugnay din sa SocGholish at D3F@ck Loader, ayon sa isang ulat noong Abril 2025.

Mula sa Chrome Web Store patungo sa Kompromiso

Sa dokumentadong kadena ng impeksyon, naghanap ang mga biktima online ng isang ad blocker at ipinakita sa kanila ang isang malisyosong advertisement na nag-redirect sa kanila sa isang extension ng browser na direktang naka-host sa opisyal na Chrome Web Store.

Ang extension, na pinangalanang 'NexShield – Advanced Web Guardian' (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi), ay nagpakita ng sarili bilang isang 'ultimate privacy shield' na nagsasabing hinaharangan ang mga ad, tracker, malware, at mapanghimasok na nilalaman sa web. Bago ito inalis, nakaipon ito ng hindi bababa sa 5,000 na download.

Sa teknikal na aspeto, ang extension ay halos magkaparehong kopya ng isang lehitimong extension na nagbabawal ng ad. Gayunpaman, sa ilalim ng pamilyar na interface, dinisenyo ito upang magpakita ng isang gawa-gawang babala sa seguridad na nagsasaad na ang browser ay 'hindi normal na huminto' at nag-uudyok sa mga user na magsimula ng pekeng pag-scan na umano'y nakaugnay sa Microsoft Edge.

Pag-engineer ng Pagbagsak para Gumawa ng Tiwala

Kung magki-click ang user para patakbuhin ang scan, magpapakita ang extension ng mga tagubilin para buksan ang Windows Run dialog at isagawa ang command na nakopya na sa clipboard. Sa sandaling mangyari ito, sadyang maglulunsad ang extension ng denial-of-service routine na lumilikha ng walang katapusang runtime port connections sa pamamagitan ng isang infinite loop, na inuulit ang parehong hakbang nang hanggang isang bilyong beses.

Ang pagkaubos ng resource na ito ay nagdulot ng matinding pagkonsumo ng memory, na nagpapabagal, nagpapawalang-bisa sa browser, at kalaunan ay nagdulot ng pag-crash. Ang sinasadyang kawalang-tatag ay hindi isang side effect, ito ay ang social engineering trigger.

Nang ma-install, nagpadala ang extension ng isang natatanging identifier sa isang server na kontrolado ng attacker sa nexsnield[.]com, na nagbibigay-daan sa pagsubaybay sa biktima. Naantala ang malisyosong aktibidad nang 60 minuto pagkatapos ng pag-install, at pagkatapos nito ay muling isinasagawa bawat 10 minuto.

Bago ilunsad ang DoS routine, nag-imbak ang extension ng timestamp sa local storage. Kapag pinilit na huminto ng user at muling sinimulan ang browser, susuriin ng startup handler ang value na ito. Kung mayroon, lilitaw ang CrashFix pop-up at pagkatapos ay buburahin ang timestamp, na lumilikha ng ilusyon na ang babala ay resulta ng pag-crash sa halip na ang sanhi nito.

Ang DoS routine ay naisakatuparan lamang kapag natugunan ang tatlong kundisyon: umiiral ang UUID ng biktima, matagumpay na tumugon ang command-and-control server, at ang pop-up ay nabuksan at naisara nang kahit isang beses. Mariing ipinahihiwatig ng lohikang ito na nais kumpirmahin ng mga operator ang interaksyon ng user bago ganap na i-activate ang payload loop.

Ang resulta ay isang siklong nagtutuloy-tuloy. Ang bawat sapilitang pag-restart pagkatapos ng pag-freeze ay muling nagti-trigger ng pekeng babala. Kung mananatiling naka-install ang extension, magpapatuloy ang pag-crash pagkalipas ng sampung minuto.

Paglilito, Pagkontra sa Pagsusuri, at Pamumuhay na Malayo sa Lupa

Ang pekeng pop-up ay nagpatupad ng ilang mga hakbang laban sa pagsusuri, hindi pinagana ang mga menu ng konteksto na may mga right-click at hinaharangan ang mga shortcut sa keyboard na karaniwang ginagamit upang ma-access ang mga tool ng developer.

Inabuso ng utos na CrashFix ang lehitimong Windows utility na finger.exe upang makuha at maisagawa ang isang secondary-stage payload mula sa 199.217.98[.]108. Ang paggamit ni KongTuke ng Finger utility ay naitala na noon noong Disyembre 2025.

Ang na-download na payload ay isang PowerShell command na kumuha ng karagdagang script, na nagtago ng nilalaman nito sa pamamagitan ng maraming patong ng Base64 encoding at XOR operations, na sumasalamin sa mga pamamaraang matagal nang nauugnay sa mga kampanyang SocGholish.

Nang ma-decrypt, ini-scan ng script ang mga aktibong proseso para sa mahigit 50 kilalang analysis tool at virtual machine indicator at agad na tinapos kung mayroon mang matagpuan. Sinuri rin nito kung ang sistema ay naka-domain o bahagi ng isang standalone workgroup, pagkatapos ay nagpadala ng HTTP POST request pabalik sa parehong server na naglalaman ng:

  • Isang listahan ng mga naka-install na produkto ng antivirus
  • Isang flag ng klasipikasyon ng host: 'ABCD111' para sa mga standalone system at 'BCDA222' para sa mga makinang konektado sa domain

ModeloRAT: Iniayon para sa mga Kapaligiran ng Korporasyon

Kung ang nahawaang sistema ay natukoy bilang domain-joined, ang kadena ng impeksyon ay hahantong sa pag-deploy ng ModeloRAT, isang Python-based na Windows remote access trojan. Ang malware ay nakikipag-ugnayan sa pamamagitan ng mga RC4-encrypted channel na may mga command-and-control server sa 170.168.103[.]208 o 158.247.252[.]178.

Nagtatatag ang ModeloRAT ng persistence sa pamamagitan ng Windows Registry at sumusuporta sa pagpapatupad ng mga binary, DLL, Python script, at PowerShell command. Kasama rin dito ang built-in na mga kontrol sa lifecycle, na nagpapahintulot sa mga operator na malayuang i-update ang implant o wakasan ito gamit ang mga nakalaang command.

Ang RAT ay nagpapatupad ng isang multi-tier beaconing strategy na idinisenyo upang maiwasan ang pagtukoy ng pag-uugali:

  • Sa ilalim ng normal na mga kondisyon, ito ay nagbibigay ng beacon kada 300 segundo.
  • Kapag inilipat ng server sa active mode, agresibo itong nagpo-poll sa isang configurable interval, na babalik sa 150 milliseconds sa default.
  • Pagkatapos ng anim na magkakasunod na pagkabigo ng komunikasyon, ito ay bumabalik sa 900 segundong pagitan.
  • Kasunod ng isang pagkabigo, susubukan nitong muling kumonekta pagkatapos ng 150 segundo bago bumalik sa karaniwang timing.

Ang adaptive logic na ito ay nagbibigay-daan sa ModeloRAT na makihalubilo sa trapiko ng network habang sinusuportahan pa rin ang mabilis na interaksyon ng operator kung kinakailangan.

Isang Istratehiya sa Impeksyon na May Dalawang Antas

Bagama't ang pag-deploy ng ModeloRAT sa mga domain-joined system ay mariing nagpapahiwatig ng pagtutuon sa mga corporate environment at mas malalim na pagpasok sa network, ang mga standalone machine ay idinaan sa ibang multi-stage sequence. Sa mga kasong iyon, ang command-and-control server ay sa huli ay tumugon gamit ang mensaheng 'TEST PAYLOAD!!!!', na nagmumungkahi na ang parallel infection path na ito ay maaaring nasa ilalim pa rin ng pag-unlad.

Ang Mas Malaking Larawan: Social Engineering sa Pamamagitan ng Disenyo

Inilalarawan ng kampanyang CrashFix ng KongTuke kung paano pinipino ng mga modernong aktor ng banta ang social engineering tungo sa isang ganap na ininhinyero na control loop. Sa pamamagitan ng pagpapanggap bilang isang mapagkakatiwalaang open-source na proyekto, sadyang pagsira sa katatagan ng browser, at pagkatapos ay pagpapakita ng isang pekeng pag-aayos, binago ng mga umaatake ang pagkadismaya ng gumagamit tungo sa pagsunod.

Ipinapakita ng operasyon kung paano maaaring pagsamahin ang mga browser extension, mga mapagkakatiwalaang marketplace, at mga tool na hindi nakalaan para sa buhay sa isang matibay na kadena ng impeksyon, isa na nagpapatuloy hindi lamang sa pamamagitan ng palihim, kundi sa pamamagitan ng paulit-ulit na pagmamanipula sa biktima upang sila mismo ang mag-trigger ng pag-atake.

Trending

Pinaka Nanood

Naglo-load...