Бесплатная «техподдержка» от хакеров из KongTuke может дорого обойтись вам и вашим данным.
Злоумышленники из хакерской группы KongTuke начали использовать новую вредоносную цепочку под названием CrashFix, нацеленную на пользователей Google Chrome. По данным Huntress, атака начинается с загрузки фальшивого расширения под именем NexShield, замаскированного под популярный блокировщик рекламы uBlock Origin Lite. Расширение было опубликовано в официальном магазине Chrome Web Store, что помогло придать ему видимость легитимности.
Жертва сталкивается с CrashFix, когда браузер зависает и внезапно перезапускается. После этого появляется всплывающее окно с сообщением о сбое в работе Chrome и предложением устранить проблемы через «проверку безопасности». Пользователю предлагается открыть окно запуска Windows и вставить туда заранее скопированную команду. Фактически эта команда запускает вредоносный PowerShell-скрипт, получаемый с сервера атакующих. Используется утилита finger.exe, перенесённая в каталог %temp% и переименованная в ct.exe, чтобы избежать обнаружения.
Целью атаки являются в первую очередь корпоративные системы, подключённые к домену. В таких случаях жертва получает на компьютер специально разработанный троян ModeloRAT. Этот зловред написан на Python и распространяется в архиве вместе с собственной сборкой WinPython, что позволяет избежать зависимости от установленной версии Python на машине.
ModeloRAT отличается продвинутой системой шифрования данных с помощью RC4, возможностью сохраняться в реестре, сбором информации о системе и выполнением различных команд. Также используется сокрытие активности за счёт имитации легитимных названий, например, «Spotify47» или «Adobe2841» для реестровых ключей автозапуска.
Домашние пользователи получают другую цепочку заражения, основанную на многоступенчатой PowerShell-обфускации и использовании DGA — алгоритма генерации доменов, обновляющего адреса каждую неделю. Конечный скрипт проверяет параметры системы, формирует уникальный числовой отпечаток и отправляет его на сервер. В зависимости от полученного значения сервер решает, выдавать ли вредоносный код. Низкий рейтинг системы говорит о том, что перед ним исследовательская среда, и в таком случае зловред не активируется.
В NexShield встроен механизм отсроченного запуска, который активирует вредоносные функции только через час после установки, чтобы отвязать подозрения пользователя от расширения. Само расширение перегружает браузер, создавая миллиарды соединений через Chrome API, что вызывает зависания и сбои. Повторные циклы перезагрузок и ложных предупреждений продолжаются до тех пор, пока пользователь не удалит расширение или не выполнит предложенные действия, запускающие заражение.
Расширение также передаёт данные о пользователе — UUID, версию и другие параметры — на сервер nexsnield.com. Отдельно отслеживаются установки, обновления и даже удаление расширения. Дополнительно используются приёмы антианализа, запрещающие открытие инструментов разработчика и доступ к исходному коду страниц.
Разработка вредоносного функционала указывает на желание группы KongTuke усилить присутствие в корпоративной среде, получая доступ к Active Directory и внутренним сетям. Используемая архитектура, основанная на LOLBin-инструментах, многоуровневой обфускации и интеллектуальной фильтрации жертв, подчёркивает растущую сложность атак и повышенные усилия по сокрытию присутствия в системе.
Специалисты Huntress, обнаружившие кампанию, подчёркивают важность мониторинга сетевого трафика, отслеживания подозрительных расширений и активности PowerShell-процессов в фоновом режиме.