CrashFix恶意Chrome扩展利用浏览器崩溃诱饵传播ModeloRAT木马

网络安全研究人员披露了一项名为KongTuke的持续攻击活动详情，该活动使用伪装成广告拦截器的恶意Google Chrome扩展程序，故意使网页浏览器崩溃，并诱骗受害者运行任意命令，通过类似ClickFix的诱饵传播一个此前未被记录的远程访问木马ModeloRAT。

Huntress将这种ClickFix的新升级版本代号命名为CrashFix。

KongTuke也被追踪为404 TDS、Chaya_002、LandUpdate808和TAG-124，是一个流量分发系统的名称，该系统以分析受害者主机为特色，然后将其重定向到感染系统的有效载荷传递站点。对这些被入侵主机的访问权限随后会移交给其他威胁行为者，包括勒索软件组织，用于后续恶意软件传递。

根据Recorded Future 2025年4月的报告，一些利用TAG-124基础设施的网络犯罪组织包括Rhysida勒索软件、Interlock勒索软件和TA866（又名Asylum Ambuscade），该威胁行为者还与SocGholish和D3F@ck Loader有关联。

在网络安全公司记录的攻击链中，受害者据说在搜索广告拦截器时，被提供了一个恶意广告，该广告将其重定向到托管在官方Chrome网上应用店的扩展程序。

相关的浏览器扩展程序"NexShield – Advanced Web Guardian"（ID：cpcdkmjddocikjdkbbeiaafnpdbdafmi）伪装成"终极隐私盾牌"，声称保护用户免受网页上的广告、跟踪器、恶意软件和侵入性内容的影响。该扩展至少被下载了5000次，目前已无法下载。

据Huntress称，该扩展程序是uBlock Origin Lite版本2025.1116.1841的近乎完全克隆版本，后者是一个适用于所有主要网页浏览器的合法广告拦截器附加组件。它被设计用来显示虚假安全警告，声称浏览器"异常停止"，并提示用户运行"扫描"来修复Microsoft Edge检测到的潜在安全威胁。

如果用户选择运行扫描，受害者会看到一个虚假的安全警报，指示他们打开Windows运行对话框，粘贴已复制到剪贴板的显示命令并执行它。这反过来会导致浏览器完全冻结，通过启动拒绝服务攻击使其崩溃，该攻击通过无限循环创建新的运行时端口连接，重复触发十亿次相同步骤。

这种资源耗尽技术导致过度内存消耗，使网页浏览器变得缓慢、无响应，最终崩溃。

安装后，该扩展程序还被设计为向攻击者控制的服务器（"nexsnield[.]com"）传输唯一ID，使操作者能够跟踪受害者。此外，它采用延迟执行机制，确保恶意行为仅在安装60分钟后才被触发。之后，有效载荷每10分钟执行一次。

研究人员Anna Pham、Tanner Filip和Dani Lopez表示："弹窗仅在浏览器无响应后的浏览器启动时出现。在DoS执行之前，时间戳存储在本地存储中。当用户强制退出并重启浏览器时，启动处理程序检查此时间戳，如果存在，CrashFix弹窗出现，时间戳被删除。"

"DoS仅在UUID存在（意味着用户正在被跟踪）、C2服务器成功响应获取请求，以及弹窗窗口至少打开一次并随后关闭时才执行。最后一个条件可能是故意的，以确保在触发有效载荷之前用户与扩展程序进行交互。"

最终结果是它创建了自己的循环，每当受害者在浏览器因DoS攻击变得无响应后强制退出并重启浏览器时，就会激活虚假警告。如果扩展程序未被删除，攻击将在10分钟后再次触发。

弹窗还包含各种反分析技术，禁用右键上下文菜单并阻止尝试使用键盘快捷键启动开发者工具。CrashFix命令使用合法的Windows实用程序finger.exe从攻击者的服务器（"199.217.98[.]108"）检索并执行下一阶段有效载荷。安全研究员Brad Duncan在2025年12月记录了KongTuke使用Finger命令的情况。

从服务器接收的有效载荷是一个PowerShell命令，配置为检索辅助PowerShell脚本，该脚本借鉴了SocGholish的策略，使用多层Base64编码和XOR操作来隐藏下一阶段恶意软件。

解密的数据块扫描运行进程中的50多个分析工具和虚拟机指标，如果发现则立即停止执行。它还检查机器是否已加入域或独立，并向同一服务器发送包含两条信息的HTTP POST请求：

已安装防病毒产品列表

对于独立"WORKGROUP"机器值为"ABCD111"或对于已加入域主机值为"BCDA222"的标志

如果被入侵系统被标记为已加入域，KongTuke攻击链最终部署ModeloRAT，这是一个功能齐全的基于Python的Windows RAT，使用RC4加密进行命令和控制通信（"170.168.103[.]208"或"158.247.252[.]178"），使用注册表设置持久性，并促进二进制文件、DLL、Python脚本和PowerShell命令的执行。

ModeloRAT配备了在接收到自更新（"VERSION_UPDATE"）或退出（"TERMINATION_SIGNAL"）命令时更新或终止自身的功能。它还实现了变化的信标逻辑以避开雷达。

Huntress表示："在正常操作下，它使用300秒（5分钟）的标准间隔。当服务器发送激活配置命令时，植入程序进入活动模式，以可配置间隔进行快速轮询，默认为150毫秒。"

"在六次或更多连续通信失败后，RAT退回到900秒（15分钟）的延长间隔以避免检测。从单次通信失败恢复时，它使用150秒的重连间隔，然后恢复正常操作。"

虽然使用ModeloRAT针对已加入域的机器表明KongTuke正在瞄准企业环境以促进更深层次的访问，但独立工作站上的用户会遭受单独的多阶段感染序列，最终C2服务器响应消息"TEST PAYLOAD!!!!"，表明它可能仍处于测试阶段。

网络安全公司总结道："KongTuke的CrashFix活动展示了威胁行为者如何继续发展其社会工程策略。通过冒充受信任的开源项目（uBlock Origin Lite），故意使用户浏览器崩溃，然后提供虚假修复，他们构建了一个利用用户挫败感的自我维持感染循环。"

Q&A

Q1：什么是CrashFix攻击？它是如何工作的？

A：CrashFix是KongTuke攻击活动使用的一种新型社会工程策略。攻击者通过恶意Chrome扩展程序故意使浏览器崩溃，然后显示虚假安全警告，诱骗用户运行恶意命令。该扩展程序伪装成广告拦截器，安装后会在60分钟后开始执行恶意行为，通过DoS攻击使浏览器无响应并崩溃。

Q2：ModeloRAT木马有什么特殊功能？

A：ModeloRAT是一个功能齐全的基于Python的Windows远程访问木马，使用RC4加密进行命令控制通信。它能够执行二进制文件、DLL、Python脚本和PowerShell命令，通过注册表设置持久性，并具有自更新和自终止功能。该木马还实现了智能信标逻辑，正常情况下每5分钟通信一次，失败后会调整间隔以避免检测。

Q3：如何防范KongTuke攻击活动？

A：用户应避免从不可信来源下载浏览器扩展程序，即使在官方应用商店也要仔细验证开发者身份。不要轻易执行弹窗提示的命令，特别是要求打开Windows运行对话框的指令。企业应部署端点检测解决方案，监控异常的PowerShell活动和网络通信，并定期更新安全策略以应对此类社会工程攻击。