Vor kurzem haben Sicherheitsforscher eine Kampagne entdeckt, die abgestimmte Social Engineering und technische Tricks kombiniert, um eine Browser-Erweiterung in eine Tür zu dauerhaften Fernzugriff zu verwandeln. Die von Huntress veröffentlichten Ergebnisse beschreiben eine Operation namens KongTuke, die eine schädliche Erweiterung verwendet hat, die vorgab, ein Werbeblocker zu sein, und die bewusst gezwungen, den Browser zu blockieren, um den Benutzer zu täuschen und ihn zu führen Befehle, mit denen er heruntergeladen und eingesetzt erweiterte Malware.
Der Anfangsvektor ist überraschenderweise täglich: jemand sucht einen Anzeigenblocker, bekommt eine bösartige Anzeige und endet die Installation einer Erweiterung aus dem offiziellen Chrome-Shop, die scheint legitim zu sein. Das von den Forschern identifizierte schädliche Stück wurde "NexShield - Advanced Web Guardian" genannt und wurde entworfen, um fast identisch zu einer legitimen Version von uBlock Origin Lite aussehen, die es Tausenden von Benutzern erleichtert, es zu installieren, bevor es entfernt wurde.
Das Interessante aus technischer Sicht ist, wie die Erweiterung die Frustration des Benutzers in den Liefermechanismus der zweiten Stufe verwandelt. Nach einer Zeit der absichtlichen Latenz - die schädliche Last wird mit Verzögerung aktiviert, um sofortige Erkennung zu vermeiden - die Erweiterung zeigt eine betrügerische Warnung, dass der Browser gescheitert ist und bietet einen "Reparatur-Scan". Wenn der Benutzer den Anweisungen folgt, werden Sie aufgefordert, die Run Windows Box zu öffnen und einen Befehl einzufügen, der bereits auf der Zwischenablage ist. Dieser Befehl, weit davon entfernt, ein harmloses Diagnoseprogramm zu sein, löst einen Mechanismus aus, der extremen Ressourcenverbrauch im Browser verursacht: Runtime-Port-Verbindungen werden wiederholt in einer unendlichen Schleife erstellt, bis der Browser instabil wird und zusammenfällt.
Die spezifische Überlastungstechnik missbraucht die interne Browser-API, um eine Lawine von Laufzeit-Verbindungen zu erstellen, die Speicher und CPU erschöpft, bis es das Einfrieren und Schließen verursacht. In der Zwischenzeit implementiert die Erweiterung eine Logik, die den erzwungenen Neustart des Browsers erkennt und reagiert, indem sie das gleiche betrügerische Fenster im nächsten Boot zeigt und so eine Schleife füttert, in der die gleiche "Lösung" über und über bereits frustrierte Benutzer angeboten wird. Um mehr über die APIs zu erfahren, die missbraucht wurden, bietet Chrome Erweiterungsdokumentation Kontext, wie Laufzeit-Ports funktionieren: Entwickler.chrome.com / docs / Erweiterungen / Referenz / Laufzeit.
Die Kampagne bleibt nicht in Schwierigkeiten: Es gibt eine zweite bösartige Handlung. Die Erweiterung sendet einen eindeutigen Identifikator an einen vom Angreifer gesteuerten Server und, wenn bestimmte Bedingungen erfüllt sind (der Identifikator existiert, der Server reagiert und der Benutzer mit dem Popup interagiert hat), einen Befehl, der ein legitimes Windows-Dienstprogramm verwendet, um die nächste Stufe aus einer Fernrichtung herunterzuladen. Dieser Befehl löst eine klare PowerShell-Kette mit mehreren Schichten von Base64 und XOR-Operationen aus, die eine Nutzlast abbildet, die in der Lage ist, das Team auf der Suche nach Analysewerkzeugen und virtualisierten Umgebungen zu probieren. Wenn Sie erkennen, dass die Ausrüstung Teil einer Business-Domain ist, endet der Fluss mit der Installation eines Remote Access Trojan geschrieben in Python, nicknamed ModeloRAT.
ModeloRAT enthält RC4-Verschlüsselung für die Kommunikation mit dem Befehls- und Steuerserver, sorgt für Beharrlichkeit durch Änderung des Windows-Registers und ermöglicht es den Betreibern Binaries, Bibliotheken, Python-Skripte und PowerShell-Befehle auszuführen. Ihr Umfrage- und Kommunikationsverhalten ist darauf ausgelegt, die Erkennung zu umgehen: Sie verwenden im Normalbetrieb ungewöhnliche Intervalle für "Beaconing", aber Sie können sich in einen aktiven Modus mit sehr schnellen Umfragen bewegen, wenn Sie die Bestellung erhalten. Nach wiederholten Kommunikationsausfällen reduziert Malware sein Tempo, um Geräusche zu minimieren und bleiben dampfförmiger.
Die von Huntress dokumentierten technischen Details zeigen, dass die Betreiber hinter der Verkehrsinfrastruktur - bekannt in der Gemeinde als KongTuke, 404 TDS oder TAG-124 nach verschiedenen Berichten - eine Geschichte der Verteilung von Nutzlasten und "Lieferung" Zugang zu Dritten, einschließlich Ransomware-Familien haben. Eine vorherige Analyse dieser Infrastruktur und ihrer Verbände mit anderen Gruppen wurde von Geheimdiensten gemeldet, die darauf hindeuten, dass es sich nicht um einen isolierten Test, sondern um eine Verteilerkette mit klaren operativen Zielen handelt. Im Zusammenhang mit der Tätigkeit dieser Vertriebssysteme und deren Verwendung durch kriminelle Akteure haben Geheimdienste wie Recorded Future Analysen zu Gruppen und TDS veröffentlicht, die diese Art des illegalen Handels erleichtern (siehe Aufgenommene Zukunft)
Was die Dauer der Kampagne und die technischen Verteidigungen betrifft: die Erweiterung beinhaltete Anti-Analyse-Maßnahmen, wie das Kontextmenü deaktivieren und Tastaturkürzel blockieren, um es dem Benutzer zu erschweren, Entwickler-Tools zu öffnen oder den Code zu überprüfen. Darüber hinaus überprüft die Endbelastung Hunderte von Indikatoren von Analyseumgebungen und Abbrüchen, wenn Sie typische Datensätze von Malware-Labors finden, die die Arbeit von Forschern kompliziert. Die Infrastruktur-Indikatoren und die mit der Kampagne verbundenen Dateien wurden auf Plattformen wie VirusTotal für Follow-up aufgezeichnet: nexsnield [.] com in VirusTotal.
Neben der technischen Erklärung gibt es eine klare Lektion über den menschlichen Faktor. Dieser Angriff untersucht das Vertrauen in Browser-Erweiterungen und Nachrichten, die scheinen, um ein sofortiges Problem zu lösen. Durch das Fakingen eines bekannten Open Source-Projekts und die Replikation seiner Schnittstelle reduzieren Angreifer Alarmsignale und erhöhen die Chancen des Opfers nach den Anweisungen.
Was können Nutzer und Unternehmen tun, um das Risiko zu reduzieren? Zuerst, Misstrauen Anweisungen, die bitten, kopierte Befehle aus einer Website oder Pop-up-Fenster auszuführen: nie einfügen oder ausführen Befehle, die Sie nicht überprüft haben. Überprüfen und verwalten Sie installierte Erweiterungen, Beseitigung von unbekannten Element oder nicht von einer Quelle von Vertrauen kommen. Für Schritt-für-Schritt-Hilfe auf, wie Erweiterungen in Chrome zu entfernen, Googles offizielle Dokumentation bietet klare Hinweise: support.google.com / chrom / ansher / 187443. In Unternehmensumgebungen können Erweiterungsmanagementrichtlinien und zentralisierte Installationssteuerungen die Installation von nicht autorisierten Ergänzungen verhindern. Es wird auch empfohlen, dass Sicherheitsteams ausgehende Verbindungen und Endpunkte-Anomalien überprüfen und die Antiviren- und EDR-Lösungen auf dem neuesten Stand halten, um Skripte Ausführungsmuster und Persistenz im Register zu erkennen.
Schließlich ist es wichtig zu erinnern, dass Angreifer oft legitime System-Tools verwenden, um Payloads herunterzuladen und auszuführen, mit Windows-included utilities, um das bösartige Signal zu verdünnen. Ein technisches Beispiel für ein Dienstprogramm, das in dieser Kampagne verwendet wird, ist die offizielle Referenz von Microsoft auf bestimmte Systembefehle, die Sie wissen sollten, wie sie falsch verwendet werden können: finger.exe in Microsoft-Dokumentation.
Die KongTuke-Kampagne und die CrashFix-Variante erinnern daran, dass die Sicherheit in der Navigation eine Kombination aus individueller digitaler Hygiene und robuster technischer Politik durchmacht. Die Erweiterungen sind leistungsstark und nützlich, aber sie stellen auch einen Angriffsbereich dar, der sehr effektiv ausgenutzt werden kann, wenn sie mit gut ausgeführten psychologischen Täuschung und bereits bewährten Verteilungsinfrastrukturen kombiniert werden. Die Informationen, die Bestätigung von Quellen und die Umsetzung technischer Kontrollen sind die besten Verteidigungen gegen solche Bedrohungen.
Für eine direkte und technische Lektüre des Berichts, der diese Analyse motiviert hat, bietet die ursprüngliche Forschung der Huntress eine vollständige Aufschlüsselung der Angriffskette und der Verpflichtungsindikatoren: Huntress - CrashFix / KongTuke. Um den Kontext zu assoziierten Akteuren und TDS zu kontrastieren und zu erweitern, sollten zusätzliche Nachrichtenberichte und technische Repositories konsultiert werden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...