CrashFix Chrome Uzantısı
Siber güvenlik araştırmacıları, reklam engelleyici gibi görünen kötü amaçlı bir Google Chrome eklentisini kötüye kullanan KongTuke adlı aktif bir saldırı kampanyasını ortaya çıkardı. Eklenti, tarayıcıyı kasıtlı olarak çökertmek ve ClickFix tarzı sosyal mühendislik yoluyla kurbanları saldırgan tarafından kontrol edilen komutları yürütmeye yönlendirmek üzere tasarlanmıştır. Bu tekniğin en son evrimi CrashFix kod adıyla anılmaktadır ve nihayetinde ModeloRAT olarak bilinen daha önce belgelenmemiş bir uzaktan erişim truva atı yaymaktadır.
KongTuke, ayrıca 404 TDS, Chaya_002, LandUpdate808 ve TAG-124 olarak da takip edilen bir trafik dağıtım sistemi (TDS) olarak çalışır. Kurban ortamlarını profiller ve seçilen hedefleri kötü amaçlı yazılım dağıtım altyapısına yönlendirir. Daha sonra, enfekte olmuş sunuculara erişim, fidye yazılımı operatörleri de dahil olmak üzere diğer tehdit aktörlerine satılır veya devredilir ve böylece ikincil aşama ihlalleri mümkün kılınır.
Daha önce TAG-124 altyapısını kullanan tehdit grupları arasında Rhysida fidye yazılımı, Interlock fidye yazılımı ve TA866 (Asylum Ambuscade) yer alıyor. Nisan 2025 tarihli bir rapora göre, bu faaliyet SocGholish ve D3F@ck Loader ile de bağlantılı.
İçindekiler
Chrome Web Mağazasından Uzlaşmaya
Belgelenen enfeksiyon zincirinde, kurbanlar çevrimiçi olarak bir reklam engelleyici aradılar ve onları doğrudan resmi Chrome Web Mağazası'nda barındırılan bir tarayıcı uzantısına yönlendiren kötü amaçlı bir reklamla karşılaştılar.
'NexShield – Advanced Web Guardian' (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi) adlı uzantı, reklamları, izleyicileri, kötü amaçlı yazılımları ve rahatsız edici web içeriğini engellediğini iddia eden 'nihai gizlilik kalkanı' olarak kendini tanıtmıştı. Kaldırılmadan önce en az 5.000 indirmeye ulaşmıştı.
Teknik olarak, bu eklenti meşru bir reklam engelleme eklentisinin neredeyse birebir kopyasıydı. Ancak tanıdık arayüzün altında, tarayıcının 'anormal şekilde durduğunu' belirten uydurma bir güvenlik uyarısı göstermek ve kullanıcıları Microsoft Edge ile bağlantılı olduğu varsayılan sahte bir tarama başlatmaya teşvik etmek üzere tasarlanmıştı.
Güven Yaratmak İçin Bir Çöküş Tasarlamak
Kullanıcı taramayı çalıştırmak için tıkladığında, uzantı Windows Çalıştır iletişim kutusunu açmak ve önceden panoya kopyalanmış bir komutu yürütmek için talimatlar gösteriyordu. Bu gerçekleşir gerçekleşmez, uzantı kasıtlı olarak sonsuz bir döngü aracılığıyla sonsuz çalışma zamanı bağlantı noktası bağlantıları oluşturan ve aynı adımı bir milyar defaya kadar tekrarlayan bir hizmet reddi saldırısı rutini başlatıyordu.
Bu kaynak tükenmesi aşırı bellek tüketimine neden olarak tarayıcıyı yavaşlattı, yanıt vermemesine ve sonunda çökmesine yol açtı. Kasıtlı istikrarsızlık bir yan etki değil, sosyal mühendislik tetikleyicisiydi.
Yüklendikten sonra, eklenti, saldırgan tarafından kontrol edilen nexsnield[.]com adresindeki bir sunucuya benzersiz bir tanımlayıcı ileterek kurbanın izlenmesini sağladı. Kötü amaçlı faaliyet, kurulumdan sonra 60 dakika geciktirildi ve ardından her 10 dakikada bir yeniden çalıştırıldı.
DoS saldırısı rutinini başlatmadan önce, eklenti yerel depolamaya bir zaman damgası kaydediyordu. Kullanıcı tarayıcıyı zorla kapatıp yeniden başlattığında, bir başlangıç işleyicisi bu değeri kontrol ediyordu. Eğer mevcutsa, CrashFix açılır penceresi görünüyor ve ardından zaman damgasını siliyordu; bu da uyarının çökmenin nedeni değil, sonucu olduğu yanılsamasını yaratıyordu.
DoS saldırısı yalnızca üç koşul yerine getirildiğinde yürütülüyordu: kurbanın UUID'si mevcuttu, komuta ve kontrol sunucusu başarılı bir şekilde yanıt verdi ve açılır pencere en az bir kez açılıp kapatıldı. Bu mantık, operatörlerin yük döngüsünü tamamen etkinleştirmeden önce kullanıcı etkileşimini doğrulamak istediklerini güçlü bir şekilde düşündürmektedir.
Sonuç, kendi kendini besleyen bir döngü oldu. Donma sonrasında yapılan her zorunlu yeniden başlatma, sahte uyarıyı yeniden tetikliyordu. Eklenti yüklü kaldığı sürece, çökme davranışı on dakika sonra tekrar başlıyordu.
Gizleme, Analiz Karşıtlığı ve Doğadan Geçinme
Sahte açılır pencere, analiz karşıtı çeşitli önlemler uygulayarak sağ tıklama bağlam menülerini devre dışı bıraktı ve genellikle geliştirici araçlarına erişmek için kullanılan klavye kısayollarını engelledi.
CrashFix komutu, 199.217.98[.]108 adresinden ikincil aşama bir zararlı yazılımı almak ve çalıştırmak için yasal Windows yardımcı programı finger.exe'yi kötüye kullandı. KongTuke'nin Finger yardımcı programını kullanması daha önce Aralık 2025'te belgelenmişti.
İndirilen zararlı yazılım, içeriğini çok katmanlı Base64 kodlaması ve XOR işlemleriyle gizleyen ek bir komut dosyasını indiren bir PowerShell komutuydu; bu teknikler, uzun zamandır SocGholish kampanyalarıyla ilişkilendirilen yöntemleri anımsatıyordu.
Şifresi çözüldükten sonra, komut dosyası aktif süreçleri 50'den fazla bilinen analiz aracı ve sanal makine göstergesi açısından taradı ve herhangi birini bulursa hemen sonlandırdı. Ayrıca sistemin etki alanına bağlı olup olmadığını veya bağımsız bir çalışma grubunun parçası olup olmadığını değerlendirdi ve ardından aynı sunucuya aşağıdaki bilgileri içeren bir HTTP POST isteği gönderdi:
- Yüklü antivirüs ürünlerinin listesi
- Bir sunucu sınıflandırma bayrağı: bağımsız sistemler için 'ABCD111' ve etki alanına bağlı makineler için 'BCDA222'.
ModeloRAT: Kurumsal Ortamlar İçin Özel Olarak Tasarlandı
Eğer enfekte sistemin etki alanına bağlı olduğu tespit edilirse, enfeksiyon zinciri Python tabanlı bir Windows uzaktan erişim truva atı olan ModeloRAT'ın dağıtımıyla sonuçlanır. Kötü amaçlı yazılım, 170.168.103[.]208 veya 158.247.252[.]178 adreslerindeki komuta ve kontrol sunucularıyla RC4 şifrelemeli kanallar üzerinden iletişim kurar.
ModeloRAT, Windows Kayıt Defteri aracılığıyla kalıcılık sağlar ve ikili dosyaların, DLL'lerin, Python komut dosyalarının ve PowerShell komutlarının yürütülmesini destekler. Ayrıca, operatörlerin özel komutlar kullanarak implantı uzaktan güncellemesine veya sonlandırmasına olanak tanıyan yerleşik yaşam döngüsü kontrolleri de içerir.
RAT, davranışsal tespitlerden kaçınmak için tasarlanmış çok katmanlı bir sinyal gönderme stratejisi uygular:
- Normal şartlar altında her 300 saniyede bir sinyal gönderir.
- Sunucu tarafından aktif moda geçirildiğinde, varsayılan olarak 150 milisaniyelik bir aralıkla, yapılandırılabilir bir şekilde agresif bir şekilde sorgulama yapar.
- Altı ardışık iletişim hatasından sonra, aralıklar 900 saniyeye düşüyor.
- Tek bir bağlantı hatasının ardından, standart zamanlamaya dönmeden önce 150 saniye sonra yeniden bağlantı kurmayı dener.
Bu uyarlanabilir mantık, ModeloRAT'ın ağ trafiğine karışmasını sağlarken, gerektiğinde hızlı operatör etkileşimini de desteklemesine olanak tanır.
İki Aşamalı Bir Enfeksiyon Stratejisi
ModeloRAT'ın etki alanına bağlı sistemlere dağıtılması, kurumsal ortamlara ve daha derin ağ penetrasyonuna odaklanıldığını güçlü bir şekilde gösterirken, bağımsız makineler farklı bir çok aşamalı dizi üzerinden yönlendirildi. Bu durumlarda, komuta ve kontrol sunucusu nihayetinde 'TEST YÜKÜ!!!!' mesajıyla yanıt verdi; bu da paralel enfeksiyon yolunun hala geliştirilme aşamasında olabileceğini düşündürmektedir.
Daha Geniş Perspektif: Tasarım Yoluyla Sosyal Mühendislik
KongTuke'un CrashFix kampanyası, modern tehdit aktörlerinin sosyal mühendisliği nasıl tam anlamıyla tasarlanmış bir kontrol döngüsüne dönüştürdüğünü göstermektedir. Güvenilir bir açık kaynak projesini taklit ederek, tarayıcıyı kasıtlı olarak istikrarsızlaştırarak ve ardından sahte bir düzeltme sunarak, saldırganlar kullanıcıların hayal kırıklığını uyumluluğa dönüştürdüler.
Bu operasyon, tarayıcı uzantılarının, güvenilir pazar yerlerinin ve yerleşik araçların nasıl dayanıklı bir enfeksiyon zincirine dönüştürülebileceğini, bu zincirin yalnızca gizlilik yoluyla değil, kurbanı tekrar tekrar saldırıyı tetiklemeye yönlendirerek nasıl devam edebileceğini göstermektedir.
