Tiện ích mở rộng CrashFix cho Chrome

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch đang hoạt động, được đặt tên là KongTuke, lợi dụng một tiện ích mở rộng độc hại của Google Chrome giả dạng trình chặn quảng cáo. Tiện ích mở rộng này được thiết kế để cố tình làm sập trình duyệt và thao túng nạn nhân thực thi các lệnh do kẻ tấn công điều khiển thông qua kỹ thuật xã hội kiểu ClickFix. Sự phát triển mới nhất của kỹ thuật này được đặt tên mã là CrashFix và cuối cùng tạo ra một phần mềm độc hại truy cập từ xa chưa từng được ghi nhận trước đây có tên là ModeloRAT.

KongTuke, còn được theo dõi với các tên gọi 404 TDS, Chaya_002, LandUpdate808 và TAG-124, hoạt động như một hệ thống phân phối lưu lượng (TDS). Nó lập hồ sơ môi trường của nạn nhân và chuyển hướng các mục tiêu được chọn đến cơ sở hạ tầng phân phối phần mềm độc hại. Quyền truy cập vào các máy chủ bị nhiễm sau đó được bán hoặc chuyển giao cho các tác nhân đe dọa khác, bao gồm cả những kẻ điều hành phần mềm tống tiền, để cho phép xâm nhập giai đoạn thứ cấp.

Các nhóm tội phạm mạng trước đây được phát hiện lợi dụng cơ sở hạ tầng TAG-124 bao gồm phần mềm tống tiền Rhysida, phần mềm tống tiền Interlock và TA866 (Asylum Ambuscade). Theo một báo cáo tháng 4 năm 2025, hoạt động này cũng có liên quan đến SocGholish và D3F@ck Loader.

Từ Chrome Web Store đến sự thỏa hiệp

Trong chuỗi lây nhiễm được ghi nhận, các nạn nhân đã tìm kiếm trực tuyến trình chặn quảng cáo và bị hiển thị một quảng cáo độc hại, dẫn họ đến một tiện ích mở rộng trình duyệt được lưu trữ trực tiếp trên Cửa hàng Chrome Web chính thức.

Tiện ích mở rộng có tên 'NexShield – Advanced Web Guardian' (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi) tự giới thiệu là 'lá chắn bảo mật tối thượng', tuyên bố có khả năng chặn quảng cáo, trình theo dõi, phần mềm độc hại và nội dung web xâm phạm quyền riêng tư. Trước khi bị gỡ bỏ, nó đã có ít nhất 5.000 lượt tải xuống.

Về mặt kỹ thuật, tiện ích mở rộng này là bản sao gần như y hệt của một tiện ích chặn quảng cáo hợp pháp. Tuy nhiên, bên dưới giao diện quen thuộc, nó được thiết kế để hiển thị cảnh báo bảo mật giả mạo, cho biết trình duyệt đã "dừng hoạt động bất thường" và yêu cầu người dùng thực hiện một quá trình quét giả mạo được cho là có liên quan đến Microsoft Edge.

Tạo ra một vụ tai nạn để xây dựng lòng tin.

Nếu người dùng nhấp chuột để chạy quá trình quét, tiện ích mở rộng sẽ hiển thị hướng dẫn mở hộp thoại Chạy của Windows và thực thi một lệnh đã được sao chép vào clipboard. Ngay khi điều này xảy ra, tiện ích mở rộng cố ý khởi chạy một chương trình tấn công từ chối dịch vụ (DoS) tạo ra các kết nối cổng thời gian chạy vô tận thông qua một vòng lặp vô hạn, lặp lại cùng một bước lên đến một tỷ lần.

Việc cạn kiệt tài nguyên này đã gây ra tình trạng tiêu thụ bộ nhớ cực độ, khiến trình duyệt chậm, không phản hồi và cuối cùng dẫn đến sự cố sập hệ thống. Sự bất ổn có chủ đích này không phải là tác dụng phụ, mà là yếu tố kích hoạt kỹ thuật xã hội.

Sau khi được cài đặt, tiện ích mở rộng này sẽ truyền một mã định danh duy nhất đến máy chủ do kẻ tấn công kiểm soát tại nexsnield[.]com, cho phép theo dõi nạn nhân. Hoạt động độc hại bị trì hoãn trong 60 phút sau khi cài đặt, sau đó tự động thực thi lại cứ sau 10 phút.

Trước khi khởi chạy quy trình tấn công từ chối dịch vụ (DoS), tiện ích mở rộng đã lưu trữ một dấu thời gian trong bộ nhớ cục bộ. Khi người dùng buộc phải thoát và khởi động lại trình duyệt, trình xử lý khởi động sẽ kiểm tra giá trị này. Nếu có, cửa sổ bật lên CrashFix sẽ xuất hiện và sau đó xóa dấu thời gian, tạo ra ảo tưởng rằng cảnh báo là hậu quả của sự cố chứ không phải là nguyên nhân của nó.

Thủ tục tấn công từ chối dịch vụ (DoS) chỉ được thực thi khi ba điều kiện được đáp ứng: UUID của nạn nhân tồn tại, máy chủ điều khiển phản hồi thành công và cửa sổ bật lên đã được mở và đóng ít nhất một lần. Logic này cho thấy rõ ràng rằng những kẻ điều hành muốn xác nhận tương tác của người dùng trước khi kích hoạt hoàn toàn vòng lặp tấn công.

Kết quả là một vòng luẩn quẩn tự duy trì. Mỗi lần khởi động lại bắt buộc sau khi bị treo máy đều kích hoạt lại cảnh báo giả. Nếu tiện ích mở rộng vẫn được cài đặt, hiện tượng treo máy sẽ tiếp diễn sau mười phút.

Che đậy sự thật, chống phân tích và sống dựa vào nguồn tài nguyên thiên nhiên.

Cửa sổ bật lên giả mạo này đã thực hiện một số biện pháp chống phân tích, vô hiệu hóa menu ngữ cảnh chuột phải và chặn các phím tắt thường được sử dụng để truy cập công cụ dành cho nhà phát triển.

Lệnh CrashFix đã lợi dụng tiện ích hợp pháp finger.exe của Windows để truy xuất và thực thi một payload giai đoạn thứ hai từ 199.217.98[.]108. Việc KongTuke sử dụng tiện ích Finger đã được ghi nhận trước đó vào tháng 12 năm 2025.

Tệp tin được tải xuống là một lệnh PowerShell, dùng để lấy một tập lệnh bổ sung, tập lệnh này che giấu nội dung của nó thông qua nhiều lớp mã hóa Base64 và các phép toán XOR, gợi nhớ đến các kỹ thuật từ lâu đã được sử dụng trong các chiến dịch SocGholish.

Sau khi giải mã, tập lệnh sẽ quét các tiến trình đang hoạt động để tìm hơn 50 công cụ phân tích và chỉ báo máy ảo đã biết, và sẽ chấm dứt ngay lập tức nếu tìm thấy bất kỳ công cụ nào như vậy. Nó cũng đánh giá xem hệ thống có được tham gia vào miền hay là một phần của nhóm làm việc độc lập, sau đó gửi yêu cầu HTTP POST trở lại cùng máy chủ đó chứa:

• Danh sách các sản phẩm chống virus đã được cài đặt
• Cờ phân loại máy chủ: 'ABCD111' cho các hệ thống độc lập và 'BCDA222' cho các máy đã tham gia miền.

ModeloRAT: Được thiết kế riêng cho môi trường doanh nghiệp

Nếu hệ thống bị nhiễm được xác định là đã tham gia miền, chuỗi lây nhiễm sẽ kết thúc bằng việc triển khai ModeloRAT, một loại trojan truy cập từ xa dựa trên Python dành cho Windows. Phần mềm độc hại này liên lạc qua các kênh được mã hóa RC4 với các máy chủ điều khiển tại 170.168.103[.]208 hoặc 158.247.252[.]178.

ModeloRAT thiết lập khả năng duy trì hoạt động thông qua Windows Registry và hỗ trợ thực thi các tập lệnh nhị phân, DLL, tập lệnh Python và lệnh PowerShell. Nó cũng bao gồm các chức năng kiểm soát vòng đời tích hợp, cho phép người vận hành cập nhật từ xa hoặc chấm dứt hoạt động của phần mềm độc hại bằng các lệnh chuyên dụng.

RAT triển khai chiến lược định vị đa tầng được thiết kế để tránh bị phát hiện dựa trên hành vi:

• Trong điều kiện bình thường, nó phát tín hiệu mỗi 300 giây.
• Khi được máy chủ chuyển sang chế độ hoạt động, nó sẽ liên tục thăm dò dữ liệu theo một khoảng thời gian có thể cấu hình được, mặc định là 150 mili giây.
• Sau sáu lần liên lạc thất bại liên tiếp, nó sẽ giảm tần suất xuống còn 900 giây một lần.
• Sau một lần lỗi, hệ thống sẽ cố gắng kết nối lại sau 150 giây trước khi quay lại chế độ định thời tiêu chuẩn.

Logic thích ứng này cho phép ModeloRAT hòa nhập vào lưu lượng mạng trong khi vẫn hỗ trợ tương tác nhanh chóng với người vận hành khi cần thiết.

Chiến lược lây nhiễm hai hướng

Mặc dù việc triển khai ModeloRAT trên các hệ thống tham gia miền cho thấy rõ sự tập trung vào môi trường doanh nghiệp và khả năng thâm nhập mạng sâu hơn, các máy tính độc lập lại được định tuyến qua một chuỗi nhiều giai đoạn khác nhau. Trong những trường hợp đó, máy chủ điều khiển và chỉ huy cuối cùng đã phản hồi bằng thông báo 'TEST PAYLOAD!!!!', cho thấy rằng con đường lây nhiễm song song này có thể vẫn đang được phát triển.

Bức tranh toàn cảnh: Kỹ thuật thao túng tâm lý có chủ đích

Chiến dịch CrashFix của KongTuke minh họa cách các tác nhân đe dọa hiện đại đang tinh chỉnh kỹ thuật xã hội thành một vòng điều khiển được thiết kế hoàn chỉnh. Bằng cách mạo danh một dự án mã nguồn mở đáng tin cậy, cố tình làm mất ổn định trình duyệt và sau đó đưa ra bản vá lỗi giả mạo, những kẻ tấn công đã biến sự bực bội của người dùng thành sự tuân thủ.

Chiến dịch này chứng minh cách các tiện ích mở rộng trình duyệt, các chợ ứng dụng đáng tin cậy và các công cụ tự cung tự cấp có thể được kết hợp thành một chuỗi lây nhiễm bền vững, không chỉ tồn tại nhờ sự lén lút mà còn bằng cách liên tục thao túng nạn nhân để họ tự kích hoạt cuộc tấn công.