Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware CrashFix Chrome-Erweiterung

CrashFix Chrome-Erweiterung

Von Mezo in Malware, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Cybersicherheitsforscher haben eine aktive Kampagne namens KongTuke aufgedeckt, die eine bösartige Google Chrome-Erweiterung missbraucht, die sich als Werbeblocker ausgibt. Die Erweiterung ist so programmiert, dass sie den Browser absichtlich zum Absturz bringt und die Opfer durch Social Engineering im Stil von ClickFix dazu bringt, vom Angreifer gesteuerte Befehle auszuführen. Diese neueste Weiterentwicklung der Technik trägt den Codenamen CrashFix und führt letztendlich zu einem bisher unbekannten Remote-Access-Trojaner namens ModeloRAT.

KongTuke, auch bekannt als 404 TDS, Chaya_002, LandUpdate808 und TAG-124, fungiert als Traffic Distribution System (TDS). Es erstellt Profile von Opferumgebungen und leitet ausgewählte Ziele auf Infrastrukturen zur Verbreitung schädlicher Nutzdaten um. Der Zugriff auf infizierte Rechner wird anschließend an andere Bedrohungsakteure, darunter Ransomware-Betreiber, verkauft oder übertragen, um weitere Kompromittierungen zu ermöglichen.

Zu den Bedrohungsgruppen, die zuvor die TAG-124-Infrastruktur nutzten, gehören die Rhysida-Ransomware, die Interlock-Ransomware und TA866 (Asylum Ambuscade). Laut einem Bericht vom April 2025 wurde die Aktivität auch mit SocGholish und dem D3F@ck Loader in Verbindung gebracht.

Vom Chrome Web Store zum Kompromiss

In der dokumentierten Infektionskette suchten die Opfer online nach einem Werbeblocker und erhielten eine schädliche Werbung, die sie zu einer Browsererweiterung weiterleitete, die direkt im offiziellen Chrome Web Store gehostet wurde.

Die Erweiterung mit dem Namen „NexShield – Advanced Web Guardian“ (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi) präsentierte sich als „ultimativer Datenschutzschild“ und behauptete, Werbung, Tracker, Malware und aufdringliche Webinhalte zu blockieren. Vor ihrer Entfernung wurde sie mindestens 5.000 Mal heruntergeladen.

Technisch gesehen war die Erweiterung eine nahezu identische Kopie einer legitimen Werbeblocker-Erweiterung. Hinter der vertrauten Benutzeroberfläche verbarg sich jedoch eine gefälschte Sicherheitswarnung, die behauptete, der Browser sei „unerwartet“ abgestürzt, und die Nutzer zu einem angeblichen Scan aufforderte, der mit Microsoft Edge in Verbindung stand.

Inszenierung eines Crashs zur Herstellung von Vertrauen

Wenn der Benutzer auf „Scan starten“ klickte, zeigte die Erweiterung Anweisungen zum Öffnen des Windows-Ausführen-Dialogs und zum Ausführen eines bereits in die Zwischenablage kopierten Befehls an. Unmittelbar danach startete die Erweiterung absichtlich eine Denial-of-Service-Routine, die in einer Endlosschleife endlos Laufzeit-Portverbindungen herstellte und denselben Schritt bis zu einer Milliarde Mal wiederholte.

Diese Ressourcenerschöpfung führte zu extremem Speicherverbrauch, wodurch der Browser langsam und nicht mehr reaktionsfähig wurde und schließlich abstürzte. Die absichtlich herbeigeführte Instabilität war keine Nebenwirkung, sondern der Auslöser für das Social Engineering.

Nach der Installation übermittelte die Erweiterung eine eindeutige Kennung an einen vom Angreifer kontrollierten Server unter nexsnield[.]com, wodurch die Opfer verfolgt werden konnten. Die schädliche Aktivität wurde nach der Installation 60 Minuten lang verzögert und anschließend alle 10 Minuten erneut ausgeführt.

Vor dem Start der DoS-Routine speicherte die Erweiterung einen Zeitstempel im lokalen Speicher. Beim erzwungenen Beenden und Neustarten des Browsers prüfte ein Starthandler diesen Wert. War er vorhanden, erschien das CrashFix-Popup und löschte anschließend den Zeitstempel. Dadurch entstand der Eindruck, die Warnung sei eine Folge des Absturzes und nicht dessen Ursache.

Die DoS-Routine wurde nur ausgeführt, wenn drei Bedingungen erfüllt waren: Die UUID des Opfers existierte, der Command-and-Control-Server antwortete erfolgreich und das Pop-up-Fenster wurde mindestens einmal geöffnet und geschlossen. Diese Logik deutet stark darauf hin, dass die Angreifer die Benutzerinteraktion bestätigen wollten, bevor sie die Payload-Schleife vollständig aktivierten.

Das Ergebnis war ein sich selbst verstärkender Kreislauf. Jeder erzwungene Neustart nach einem Einfrieren löste die falsche Warnung erneut aus. Wenn die Erweiterung installiert blieb, trat das Absturzverhalten nach zehn Minuten wieder auf.

Verschleierung, Anti-Analyse und Leben vom Land

Das gefälschte Pop-up implementierte mehrere Anti-Analyse-Maßnahmen, deaktivierte Kontextmenüs per Rechtsklick und blockierte Tastenkombinationen, die üblicherweise zum Zugriff auf Entwicklertools verwendet werden.

Der CrashFix-Befehl missbrauchte das legitime Windows-Dienstprogramm finger.exe, um eine sekundäre Payload von 199.217.98[.]108 abzurufen und auszuführen. KongTukes Verwendung des Dienstprogramms Finger war bereits im Dezember 2025 dokumentiert worden.

Die heruntergeladene Nutzlast war ein PowerShell-Befehl, der ein zusätzliches Skript abrief, welches seinen Inhalt durch mehrere Schichten von Base64-Codierung und XOR-Operationen verbarg, was Techniken widerspiegelt, die seit langem mit SocGholish-Kampagnen in Verbindung gebracht werden.

Nach der Entschlüsselung durchsuchte das Skript aktive Prozesse nach über 50 bekannten Analysetools und Indikatoren virtueller Maschinen und beendete sich sofort, falls welche gefunden wurden. Es prüfte außerdem, ob das System einer Domäne angehörte oder Teil einer eigenständigen Arbeitsgruppe war, und sendete anschließend eine HTTP-POST-Anfrage mit folgendem Inhalt an denselben Server zurück:

  • Eine Liste der installierten Antivirenprodukte
  • Ein Host-Klassifizierungsflag: „ABCD111“ für eigenständige Systeme und „BCDA222“ für in eine Domäne eingebundene Rechner

ModeloRAT: Maßgeschneidert für Unternehmensumgebungen

Wurde das infizierte System als in eine Domäne eingebunden identifiziert, führte die Infektionskette zur Installation von ModeloRAT, einem Python-basierten Windows-Trojaner für Fernzugriff. Die Schadsoftware kommuniziert über RC4-verschlüsselte Kanäle mit Command-and-Control-Servern unter den Adressen 170.168.103[.]208 oder 158.247.252[.]178.

ModeloRAT etabliert Persistenz durch die Windows-Registrierung und unterstützt die Ausführung von Binärdateien, DLLs, Python-Skripten und PowerShell-Befehlen. Es beinhaltet außerdem integrierte Lebenszyklussteuerungen, die es Bedienern ermöglichen, das Implantat mithilfe spezieller Befehle remote zu aktualisieren oder zu beenden.

Das RAT implementiert eine mehrstufige Beaconing-Strategie, die darauf ausgelegt ist, eine Verhaltenserkennung zu umgehen:

  • Unter normalen Bedingungen sendet es alle 300 Sekunden ein Signal.
  • Wenn es vom Server in den aktiven Modus versetzt wird, fragt es in einem konfigurierbaren Intervall aggressiv ab, standardmäßig alle 150 Millisekunden.
  • Nach sechs aufeinanderfolgenden Kommunikationsausfällen wird auf 900-Sekunden-Intervalle zurückgegriffen.
  • Nach einem einzelnen Fehler versucht das System nach 150 Sekunden, die Verbindung wiederherzustellen, bevor es zum Standardbetrieb zurückkehrt.

Diese adaptive Logik ermöglicht es ModeloRAT, sich nahtlos in den Netzwerkverkehr einzufügen und gleichzeitig bei Bedarf eine schnelle Interaktion mit dem Bediener zu unterstützen.

Eine zweigleisige Infektionsstrategie

Während der Einsatz von ModeloRAT auf Systemen in Domänen deutlich auf einen Fokus auf Unternehmensumgebungen und eine tiefere Netzwerkpenetration hindeutet, wurden Einzelplatzrechner über eine andere, mehrstufige Sequenz geleitet. In diesen Fällen antwortete der Command-and-Control-Server schließlich mit der Meldung „TEST-Nutzlast!!!!“, was darauf schließen lässt, dass dieser parallele Infektionspfad möglicherweise noch in der Entwicklung ist.

Das große Ganze: Soziale Manipulation durch Design

Die CrashFix-Kampagne von KongTuke veranschaulicht, wie moderne Cyberkriminelle Social Engineering zu einem vollständig ausgeklügelten Kontrollkreislauf weiterentwickeln. Indem sie sich als vertrauenswürdiges Open-Source-Projekt ausgaben, den Browser absichtlich destabilisierten und anschließend eine gefälschte Lösung anboten, wandelten die Angreifer die Frustration der Nutzer in deren Kooperation um.

Die Operation demonstriert, wie Browsererweiterungen, vertrauenswürdige Marktplätze und Tools zum Überleben in der Natur zu einer widerstandsfähigen Infektionskette verschmolzen werden können, die nicht nur durch Heimlichkeit, sondern auch dadurch bestehen bleibt, dass das Opfer wiederholt dazu manipuliert wird, den Angriff selbst auszulösen.

Im Trend

Am häufigsten gesehen

Wird geladen...