Розширення CrashFix для Chrome
Дослідники з кібербезпеки виявили активну кампанію під назвою KongTuke, яка використовує шкідливе розширення Google Chrome, що видає себе за блокувальник реклами. Розширення розроблено для навмисного збою браузера та маніпулювання жертвами, змушуючи їх виконувати команди, контрольовані зловмисником, за допомогою соціальної інженерії в стилі ClickFix. Ця остання еволюція техніки отримала кодову назву CrashFix і зрештою створює раніше недокументований троян віддаленого доступу, відомий як ModeloRAT.
KongTuke, також відстежуваний як 404 TDS, Chaya_002, LandUpdate808 та TAG-124, працює як система розподілу трафіку (TDS). Вона профілює середовища жертв та перенаправляє вибрані цілі до інфраструктури доставки шкідливого корисного навантаження. Доступ до заражених хостів потім продається або передається іншим зловмисникам, включаючи операторів програм-вимагачів, для забезпечення компрометації на вторинному етапі.
До груп загроз, які раніше використовували інфраструктуру TAG-124, належать програми-вимагачі Rhysida, Interlock та TA866 (Asylum Ambuscade). Згідно зі звітом за квітень 2025 року, ця активність також була пов'язана з SocGholish та D3F@ck Loader.
Зміст
Від веб-магазину Chrome до компромісу
У задокументованому ланцюжку зараження жертви шукали в Інтернеті блокувальник реклами та отримували шкідливу рекламу, яка перенаправляла їх до розширення браузера, розміщеного безпосередньо в офіційному веб-магазині Chrome.
Розширення під назвою «NexShield – Advanced Web Guardian» (ідентифікатор: cpcdkmjddocikjdkbbeiaafnpdbdafmi) позиціонувалося як «найбільший захист конфіденційності», який стверджує, що блокує рекламу, трекери, шкідливе програмне забезпечення та нав’язливий веб-контент. До його видалення воно накопичило щонайменше 5000 завантажень.
Технічно, розширення було майже ідентичним клоном легітимного розширення для блокування реклами. Однак під знайомим інтерфейсом воно було розроблено для відображення сфабрикованого попередження безпеки, яке стверджувало, що браузер «аномально зупинився», і пропонувало користувачам ініціювати фальшиве сканування, нібито пов’язане з Microsoft Edge.
Проектування краху для довіри до виробництва
Якщо користувач натискав кнопку запуску сканування, розширення відображало інструкції щодо відкриття діалогового вікна «Виконати» Windows та виконання команди, яка вже була скопійована в буфер обміну. Щойно це відбувалося, розширення навмисно запускало процедуру відмови в обслуговуванні, яка створювала нескінченні підключення до портів виконання через нескінченний цикл, повторюючи один і той самий крок до мільярда разів.
Це виснаження ресурсів призвело до надмірного споживання пам'яті, що призвело до повільної роботи браузера, його зависання та зрештою до збою. Навмисна нестабільність була не побічним ефектом, а спусковим гачком соціальної інженерії.
Після встановлення розширення передавало унікальний ідентифікатор на контрольований зловмисником сервер за адресою nexsnield[.]com, що дозволяло відстежувати жертву. Шкідлива активність затримувалася на 60 хвилин після встановлення, після чого вона повторно виконувалася кожні 10 хвилин.
Перед запуском процедури DoS розширення зберігало позначку часу в локальному сховищі. Коли користувач примусово завершував роботу та перезапускав браузер, обробник запуску перевіряв це значення. Якщо воно було присутнє, з'являлося спливаюче вікно CrashFix, а потім видаляло позначку часу, створюючи ілюзію, що попередження було наслідком збою, а не його причиною.
Процедура DoS виконувалася лише за трьох умов: існував UUID жертви, сервер командного управління успішно відповів, а спливаюче вікно було відкрито та закрито принаймні один раз. Ця логіка переконливо свідчить про те, що оператори хотіли підтвердити взаємодію з користувачем, перш ніж повністю активувати цикл корисного навантаження.
Результатом став самопідтримуваний цикл. Кожен примусовий перезапуск після зависання повторно запускав фальшиве попередження. Якщо розширення залишалося встановленим, аварійна поведінка відновлювалася через десять хвилин.
Заплутування, антианаліз та життя за рахунок землі
У фальшивому спливаючому вікні було реалізовано кілька заходів проти аналізу, зокрема відключено контекстне меню, що видається клацанням правою кнопкою миші, та заблоковано комбінації клавіш, які зазвичай використовуються для доступу до інструментів розробника.
Команда CrashFix використовувала легітимну утиліту Windows finger.exe для отримання та виконання корисного навантаження вторинного етапу з 199.217.98[.]108. Використання утиліти Finger компанією KongTuke було задокументовано раніше у грудні 2025 року.
Завантажене корисне навантаження було командою PowerShell, яка завантажувала додатковий скрипт, що приховував свій вміст за допомогою кількох шарів кодування Base64 та операцій XOR, що нагадує методи, які давно асоціюються з кампаніями SocGholish.
Після розшифрування скрипт сканував активні процеси на наявність понад 50 відомих інструментів аналізу та індикаторів віртуальних машин і негайно завершував роботу, якщо такі були знайдені. Він також оцінював, чи була система приєднана до домену, чи є частиною окремої робочої групи, а потім надсилав HTTP POST-запит назад на той самий сервер, що містив:
- Список встановлених антивірусних продуктів
- Прапор класифікації хоста: «ABCD111» для автономних систем та «BCDA222» для машин, приєднаних до домену
ModeloRAT: адаптований для корпоративного середовища
Якщо заражену систему було ідентифіковано як приєднану до домену, ланцюг зараження завершувався розгортанням ModeloRAT, трояна віддаленого доступу для Windows на базі Python. Шкідливе програмне забезпечення взаємодіє через канали з шифруванням RC4 із серверами керування за адресами 170.168.103[.]208 або 158.247.252[.]178.
ModeloRAT встановлює персистентність через реєстр Windows та підтримує виконання бінарних файлів, DLL, скриптів Python та команд PowerShell. Він також містить вбудовані елементи керування життєвим циклом, що дозволяють операторам дистанційно оновлювати імплантат або завершувати його роботу за допомогою спеціальних команд.
RAT реалізує багаторівневу стратегію маячків, розроблену для уникнення поведінкового виявлення:
- За нормальних умов він спрацьовує кожні 300 секунд.
- Коли сервер перемикається в активний режим, він агресивно опитує дані з налаштовуваним інтервалом, за замовчуванням 150 мілісекунд.
- Після шести послідовних збоїв зв'язку інтервали повертаються до 900-секундних.
- Після одиничної помилки він намагається повторно підключитися через 150 секунд, перш ніж повернутися до стандартного часу.
Ця адаптивна логіка дозволяє ModeloRAT інтегруватися в мережевий трафік, водночас підтримуючи швидку взаємодію оператора за потреби.
Двостороння стратегія зараження
Хоча розгортання ModeloRAT на системах, приєднаних до домену, переконливо свідчить про зосередження на корпоративному середовищі та глибшому проникненні в мережу, автономні машини проходили через іншу багатоетапну послідовність. У цих випадках сервер керування та контролю зрештою відповідав повідомленням «ТЕСТОВЕ КОРИСНЕ НАВАНТАЖЕННЯ!!!!», що свідчить про те, що цей паралельний шлях зараження може все ще перебувати в розробці.
Ширша картина: Соціальна інженерія за задумом
Кампанія CrashFix від KongTuke ілюструє, як сучасні зловмисники вдосконалюють соціальну інженерію, перетворюючи її на повністю спроектований цикл керування. Видаючи себе за надійний проект з відкритим кодом, навмисно дестабілізуючи браузер, а потім представляючи підроблене виправлення, зловмисники перетворили розчарування користувачів на дотримання вимог.
Ця операція демонструє, як розширення браузера, надійні торговельні майданчики та інструменти для заробітку можуть бути об'єднані в стійкий ланцюг зараження, який зберігається не лише завдяки прихованості, а й шляхом багаторазових маніпуляцій жертвою, змушуючи її самостійно ініціювати атаку.
