CrashFix Chrome 擴充功能

網路安全研究人員發現了一項名為 KongTuke 的惡意攻擊活動，該活動利用一款偽裝成廣告攔截器的惡意Google Chrome 擴充功能。該擴充功能旨在故意導致瀏覽器崩潰，並透過類似 ClickFix 的社會工程手段誘騙受害者執行攻擊者控制的命令。這項技術的最新演變版本代號為 CrashFix，最終會植入一種先前未被記錄的遠端存取木馬程式 ModeloRAT。

KongTuke（也稱為 404 TDS、Chaya_002、LandUpdate808 和 TAG-124）是一種流量分發系統 (TDS)。它會分析受害者的環境，並將選定的目標重新導向到惡意負載分發基礎設施。然後，受感染主機的存取權限會被出售或轉移給其他威脅行為者，包括勒索軟體運營者，以實施第二階段的攻擊。

先前觀察到利用 TAG-124 基礎設施的威脅組織包括 Rhysida 勒索軟體、Interlock 勒索軟體和 TA866（Asylum Ambuscade）。根據 2025 年 4 月的一份報告，該活動也與 SocGholish 和 D3F@ck Loader 有關。

從 Chrome 線上應用程式商店到妥協

在已記錄的感染鏈中，受害者在網路上搜尋廣告攔截器，然後看到了惡意廣告，該廣告將他們重定向到直接託管在官方 Chrome 線上應用程式商店的瀏覽器擴充功能。

這款名為“NexShield – 高級網路衛士”（ID：cpcdkmjddocikjdkbbeiaafnpdbdafmi）的擴充功能自稱是“終極隱私盾”，聲稱可以封鎖廣告、追蹤器、惡意軟體和侵入性網路內容。在被移除之前，它的下載量至少達到了5000次。

從技術上講，這款擴充功能幾乎完全複製了一個合法的廣告攔截擴充功能。然而，在熟悉的介面之下，它偽裝成瀏覽器，顯示一個虛假的安全警告，聲稱瀏覽器“異常停止”，並誘導用戶啟動一個與微軟Edge瀏覽器相關的虛假掃描。

人為製造危機以建立信任

如果使用者點擊執行掃描，則該擴充功能會顯示開啟 Windows「執行」對話方塊並執行已複製到剪貼簿的命令的說明。一旦執行此操作，該擴充功能就會故意啟動拒絕服務攻擊，透過無限循環創建無限的運行時連接埠連接，重複此步驟最多可達十億次。

這種資源耗盡導致記憶體消耗過高，使瀏覽器運作緩慢、無回應，最終導致崩潰。這種人為造成的不穩定性並非副作用，而是社會工程攻擊的觸發因素。

安裝完成後，該擴充功能會向攻擊者控制的位於 nexsnield[.]com 的伺服器發送一個唯一標識符，從而實現對受害者的追蹤。惡意活動在安裝後會延遲 60 分鐘，之後每 10 分鐘重新執行一次。

在啟動拒絕服務攻擊程式之前，該擴充功能會在本機儲存中保存一個時間戳記。當使用者強制退出並重新啟動瀏覽器時，啟動處理程序會檢查該值。如果存在，則會彈出「崩潰修復」窗口，然後刪除該時間戳，從而造成警告是崩潰的結果而非原因的假象。

只有滿足三個條件，DoS攻擊才會執行：受害者UUID存在、命令與控制伺服器回應成功，以及彈出視窗至少被開啟和關閉過一次。這種邏輯強烈表明，攻擊者希望在完全激活有效載荷循環之前確認用戶互動。

結果形成了一個自我維持的循環。每次系統崩潰後強制重啟都會重新觸發虛假警告。如果擴充功能仍然安裝著，崩潰行為會在十分鐘後恢復。

混淆視聽、反分析和靠土地謀生

這個虛假彈出視窗實施了多項反分析措施，禁用右鍵上下文功能表並阻止通常用於存取開發者工具的鍵盤快速鍵。

CrashFix 指令濫用合法的 Windows 實用程式 finger.exe 從 199.217.98[.]108 取得並執行二級有效載荷。 KongTuke 使用 Finger 實用程式的情況先前已於 2025 年 12 月被記錄在案。

下載的有效載荷是一個 PowerShell 命令，它獲取了一個額外的腳本，該腳本透過多層 Base64 編碼和 XOR 操作隱藏其內容，這與長期以來與 SocGholish 活動相關的技術相呼應。

解密後，此腳本會掃描活動進程，尋找超過 50 種已知的分析工具和虛擬機器指標，如果發現任何符合項，則立即終止。它還會評估系統是否已加入網域或屬於獨立工作群組，然後向同一伺服器傳送一個包含以下內容的 HTTP POST 請求：

• 已安裝的防毒產品列表
• 主機分類標誌：獨立系統為“ABCD111”，加入網域的機器為“BCDA222”。

ModeloRAT：專為企業環境量身打造

如果被感染的系統被識別為已加入網域，則感染鏈最終會部署 ModeloRAT，這是一種基於 Python 的 Windows 遠端存取木馬。該惡意軟體透過 RC4 加密通道與位於 170.168.103[.]208 或 158.247.252[.]178 的命令與控制伺服器通訊。

ModeloRAT 透過 Windows 登錄建立持久化，並支援執行二進位檔案、DLL、Python 腳本和 PowerShell 指令。它還內建生命週期控制功能，允許操作人員使用專用命令遠端更新或終止該植入程式。

RAT 採用多層信標策略，旨在規避行為偵測：

• 正常情況下，它每 300 秒發出一次信標訊號。
• 當伺服器將其切換到活動模式時，它會以可配置的間隔（預設為 150 毫秒）積極輪詢。
• 連續六次通訊失敗後，通訊間隔將縮短至 900 秒。
• 單次故障後，它會在 150 秒後嘗試重新連接，然後恢復標準計時。

這種自適應邏輯使 ModeloRAT 能夠融入網路流量，同時在需要時仍能支援快速的操作員互動。

雙軌感染策略

ModeloRAT 在已加入網域的系統上的部署強烈表明其主要目標是企業環境和更深層的網路滲透，而獨立機器則經歷了不同的多階段流程。在這些情況下，命令與控制伺服器最終響應了「測試有效載荷！！！」的訊息，這表明這種並行的感染路徑可能仍在開發中。

更宏觀的視野：精心設計的社會工程

KongTuke 的 CrashFix 攻擊活動展現了現代網路攻擊者如何將社會工程學技巧提煉成一套完整的控制迴路。攻擊者透過冒充可信的開源項目，故意破壞瀏覽器穩定性，然後提供偽造的修復程序，最終將用戶的挫折感轉化為服從。

該行動表明，瀏覽器擴充功能、可信任市場和本地工具可以融合到一個具有韌性的感染鏈中，該感染鏈不僅依靠隱蔽性而持續存在，而且還透過反覆操縱受害者來觸發攻擊。