CrashFix Chrome 扩展程序
网络安全研究人员发现了一项名为 KongTuke 的恶意攻击活动,该活动利用一款伪装成广告拦截器的恶意谷歌 Chrome 扩展程序。该扩展程序旨在故意导致浏览器崩溃,并通过类似 ClickFix 的社会工程手段诱骗受害者执行攻击者控制的命令。这项技术的最新演变版本代号为 CrashFix,最终会植入一种此前未被记录的远程访问木马程序 ModeloRAT。
KongTuke(也称为 404 TDS、Chaya_002、LandUpdate808 和 TAG-124)是一种流量分发系统 (TDS)。它会分析受害者的环境,并将选定的目标重定向到恶意载荷分发基础设施。然后,受感染主机的访问权限会被出售或转移给其他威胁行为者,包括勒索软件运营者,以实施第二阶段的攻击。
此前观察到利用 TAG-124 基础设施的威胁组织包括 Rhysida 勒索软件、Interlock 勒索软件和 TA866(Asylum Ambuscade)。根据 2025 年 4 月的一份报告,该活动也与 SocGholish 和 D3F@ck Loader 有关。
目录
从 Chrome 网上应用店到妥协
在已记录的感染链中,受害者在网上搜索广告拦截器,然后看到了恶意广告,该广告将他们重定向到直接托管在官方 Chrome 网上应用商店的浏览器扩展程序。
这款名为“NexShield – 高级网络卫士”(ID:cpcdkmjddocikjdkbbeiaafnpdbdafmi)的扩展程序自称是“终极隐私盾”,声称可以屏蔽广告、追踪器、恶意软件和侵入性网络内容。在被移除之前,它的下载量至少达到了5000次。
从技术上讲,这款扩展程序几乎完全克隆了一款合法的广告拦截扩展程序。然而,在熟悉的界面之下,它却伪装成浏览器,显示一个虚假的安全警告,声称浏览器“异常停止”,并诱导用户启动一个与微软Edge浏览器相关的虚假扫描。
人为制造危机以建立信任
如果用户点击运行扫描,该扩展程序会显示打开 Windows“运行”对话框并执行已复制到剪贴板的命令的说明。一旦执行此操作,该扩展程序就会故意启动拒绝服务攻击,通过无限循环创建无限的运行时端口连接,重复此步骤最多可达十亿次。
这种资源耗尽导致内存消耗过高,使浏览器运行缓慢、无响应,最终导致崩溃。这种人为造成的不稳定并非副作用,而是社会工程攻击的触发因素。
安装完成后,该扩展程序会向攻击者控制的位于 nexsnield[.]com 的服务器发送一个唯一标识符,从而实现对受害者的追踪。恶意活动在安装后会延迟 60 分钟,之后每 10 分钟重新执行一次。
在启动拒绝服务攻击程序之前,该扩展程序会在本地存储中保存一个时间戳。当用户强制退出并重启浏览器时,启动处理程序会检查该值。如果存在,则会弹出“崩溃修复”窗口,然后删除该时间戳,从而造成警告是崩溃的结果而非原因的假象。
只有满足三个条件,DoS攻击才会执行:受害者UUID存在、命令与控制服务器响应成功,以及弹出窗口至少被打开和关闭过一次。这种逻辑强烈表明,攻击者希望在完全激活有效载荷循环之前确认用户交互。
结果形成了一个恶性循环。每次系统崩溃后强制重启都会重新触发虚假警告。如果扩展程序仍然安装着,十分钟后崩溃问题就会再次出现。
混淆视听、反分析和靠土地生存
该虚假弹出窗口实施了多项反分析措施,禁用右键上下文菜单并阻止通常用于访问开发者工具的键盘快捷键。
CrashFix 命令滥用合法的 Windows 实用程序 finger.exe 从 199.217.98[.]108 获取并执行二级有效载荷。KongTuke 使用 Finger 实用程序的情况此前已于 2025 年 12 月被记录在案。
下载的有效载荷是一个 PowerShell 命令,它获取了一个额外的脚本,该脚本通过多层 Base64 编码和 XOR 操作隐藏其内容,这与长期以来与 SocGholish 活动相关的技术相呼应。
解密后,该脚本会扫描活动进程,查找超过 50 种已知的分析工具和虚拟机指标,如果发现任何匹配项,则立即终止。它还会评估系统是否已加入域或属于独立工作组,然后向同一服务器发送一个包含以下内容的 HTTP POST 请求:
- 已安装的防病毒产品列表
- 主机分类标志:独立系统为“ABCD111”,加入域的计算机为“BCDA222”。
ModeloRAT:专为企业环境量身打造
如果被感染的系统被识别为已加入域,则感染链最终会部署 ModeloRAT,这是一种基于 Python 的 Windows 远程访问木马。该恶意软件通过 RC4 加密通道与位于 170.168.103[.]208 或 158.247.252[.]178 的命令与控制服务器通信。
ModeloRAT 通过 Windows 注册表建立持久化,并支持执行二进制文件、DLL、Python 脚本和 PowerShell 命令。它还内置生命周期控制功能,允许操作人员使用专用命令远程更新或终止该植入程序。
RAT 采用多层信标策略,旨在规避行为检测:
- 正常情况下,它每 300 秒发出一次信标信号。
- 当服务器将其切换到活动模式时,它会以可配置的间隔(默认为 150 毫秒)积极轮询。
- 连续六次通信失败后,通信间隔将缩短至 900 秒。
- 单次故障后,它会在 150 秒后尝试重新连接,然后恢复标准计时。
这种自适应逻辑使 ModeloRAT 能够融入网络流量,同时在需要时仍能支持快速的操作员交互。
双轨感染策略
ModeloRAT 在已加入域的系统上的部署强烈表明其主要目标是企业环境和更深层次的网络渗透,而独立机器则经历了不同的多阶段流程。在这些情况下,命令与控制服务器最终响应了“测试有效载荷!!!”的消息,这表明这种并行的感染路径可能仍在开发中。
更宏观的视角:精心设计的社会工程
KongTuke 的 CrashFix 攻击活动展现了现代网络攻击者如何将社会工程学技巧提炼成一套完整的控制回路。攻击者通过冒充可信的开源项目,故意破坏浏览器稳定性,然后提供伪造的修复程序,最终将用户的挫败感转化为服从。
该行动表明,浏览器扩展程序、可信市场和本地工具可以融合到一个具有韧性的感染链中,该感染链不仅依靠隐蔽性而持续存在,而且还通过反复操纵受害者来触发攻击。
