恶意扩展 CrashFix 通过“浏览器崩溃”诱饵投递新型 ModeloRAT 木马

HackerNews 编译，转载请注明出处：

网络安全研究人员披露了一场持续攻击活动"KongTuke"的详细信息。该活动利用一款伪装成广告拦截器的恶意谷歌Chrome扩展程序，故意使网页浏览器崩溃，并模仿ClickFix式诱饵欺骗受害者运行任意命令，从而投递一种先前未被记录的远程访问木马（RAT），名为ModeloRAT。

Huntress将这种ClickFix攻击的新变种命名为CrashFix。

KongTuke（也称为404 TDS、Chaya_002、LandUpdate808和TAG-124）是一个流量分发系统的名称。该系统以在将受害者重定向至有效载荷投递站点感染其系统前，先对受害者主机进行特征分析而闻名。随后，对这些受感染主机的访问权限会被移交给其他威胁行为者（包括勒索软件组织），以进行后续的恶意软件投递。

根据Recorded Future于2025年4月发布的一份报告，一些曾利用TAG-124基础设施的网络犯罪团伙包括Rhysida勒索软件、Interlock勒索软件和TA866（又名Asylum Ambuscade）。该威胁行为者还与SocGholish和D3F@ck Loader有关联。

根据该网络安全公司记录的攻击链，据称受害者在搜索广告拦截器时，被引导至一个恶意广告，该广告将其重定向到官方Chrome网上应用商店托管的一个扩展程序。

这个名为"NexShield – Advanced Web Guardian"（ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi）的浏览器扩展程序，伪装成"终极隐私护盾"，声称能保护用户免受网页上的广告、追踪器、恶意软件和侵扰性内容的侵害。该扩展至少被下载了5000次。目前它已无法下载。

Huntress表示，该扩展程序几乎是所有主流浏览器可用的合法广告拦截器插件uBlock Origin Lite版本2025.1116.1841的克隆。其设计目的是显示虚假的安全警告，声称浏览器"异常停止"，并提示用户运行"扫描"以修复由Microsoft Edge检测到的潜在安全威胁。

如果用户选择运行扫描，受害者会看到一个伪造的安全警报，指示他们打开Windows"运行"对话框，粘贴已复制到剪贴板的显示命令并执行它。这反过来会导致浏览器完全冻结，通过发起拒绝服务攻击使其崩溃——该攻击通过无限循环创建新的运行时端口连接，重复触发同一步骤十亿次。

这种资源耗尽技术会导致内存消耗过度，使网页浏览器变得缓慢、无响应，并最终崩溃。

一旦安装，该扩展程序还设计向攻击者控制的服务器（"nexsnield[.]com"）传输一个唯一ID，使操作者能够追踪受害者。此外，它采用了延迟执行机制，确保恶意行为仅在安装60分钟后才被触发。此后，有效载荷每10分钟执行一次。

研究人员Anna Pham、Tanner Filip和Dani Lopez表示："弹窗仅在浏览器变得无响应后、在浏览器启动时出现。在DoS执行之前，时间戳会存储在本地存储中。当用户强制退出并重新启动浏览器时，启动处理程序会检查此时间戳，如果存在，则显示CrashFix弹窗，并移除时间戳。"

"仅当UUID存在（意味着用户正被追踪）、C2服务器成功响应获取请求、并且弹窗窗口至少被打开并随后关闭过一次时，DoS才会执行。最后一个条件可能是为了确保在触发有效载荷前用户与扩展程序有交互。"

最终结果是它创建了自己的循环，每当受害者因DoS攻击导致浏览器无响应而强制退出并重启浏览器时，都会激活虚假警告。如果扩展程序未被移除，攻击将在10分钟后再次触发。

该弹窗还采用了多种反分析技术，包括禁用右键上下文菜单，并阻止尝试使用键盘快捷键启动开发者工具。CrashFix命令利用合法的Windows实用程序finger.exe，从攻击者的服务器（"199.217.98[.]108"）检索并执行下一阶段的有效载荷。安全研究员Brad Duncan在2025年12月记录了KongTuke对Finger命令的使用。

从服务器接收的有效载荷是一个PowerShell命令，该命令被配置为检索第二个PowerShell脚本。后者转而借鉴了SocGholish的手法，使用多层Base64编码和XOR运算来隐藏下一阶段的恶意软件。

解密后的代码块会扫描正在运行的进程，查找超过50种分析工具和虚拟机指示器，如果发现则立即停止执行。它还检查计算机是否已加入域或是独立计算机，并向同一服务器发送HTTP POST请求，其中包含两条信息：

• 已安装的防病毒产品列表

• 一个标志，对于独立的"WORKGROUP"计算机值为"ABCD111"，对于已加入域的主机值为"BCDA222"

如果被入侵系统在HTTP请求中被标记为已加入域，则KongTuke攻击链最终会部署ModeloRAT。这是一个功能齐全的基于Python的Windows RAT，它使用RC4加密进行命令与控制通信（"170.168.103[.]208" 或 "158.247.252[.]178"），利用注册表建立持久化，并便于执行二进制文件、DLL、Python脚本和PowerShell命令。

ModeloRAT能够在收到自我更新（"VERSION_UPDATE"）或退出（"TERMINATION_SIGNAL"）命令时进行自我更新或终止。它还实现了变化的信标逻辑以躲避检测。

Huntress表示："在正常操作下，它使用300秒（5分钟）的标准间隔。当服务器发送激活配置命令时，植入程序进入主动模式，以可配置的间隔进行快速轮询，默认间隔为150毫秒。"

"在连续六次或更多次通信失败后，RAT会退避到900秒（15分钟）的延长间隔以避免检测。从单次通信失败恢复时，它在恢复正常操作前使用150秒的重连间隔。"

虽然针对已加入域的机器部署ModeloRAT表明KongTuke的目标是企业环境，以便于更深层次的渗透，但独立工作站上的用户则会遭受另一个多阶段感染序列。该序列最终C2服务器会响应消息"TEST PAYLOAD!!!!"，表明其可能仍处于测试阶段。

该网络安全公司总结道："KongTuke的CrashFix活动展示了威胁行为者如何不断演进其社会工程策略。通过假冒可信的开源项目（uBlock Origin Lite）、故意使用户的浏览器崩溃，然后提供一个虚假的修复方案，他们构建了一个自我维持的感染循环，利用用户的挫败感进行攻击。"

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文