Οι ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν μια εξελιγμένη καμπάνια κακόβουλου λογισμικού χρησιμοποιώντας μια ασυνήθιστη αλλά αποτελεσματική τακτική: σκόπιμα συντριβή των προγραμμάτων περιήγησης των χρηστών.
Η απειλή, που ονομάζεται CrashFix, λειτουργεί μέσω μιας κακόβουλης επέκτασης του Chrome που είναι μεταμφιεσμένη ως το νόμιμο πρόγραμμα αποκλεισμού διαφημίσεων NexShield.
Όταν οι χρήστες αναζητούν εργαλεία απορρήτου στο διαδίκτυο, κακόβουλες διαφημίσεις τους κατευθύνουν να κατεβάσουν αυτό που φαίνεται να είναι μια αξιόπιστη επέκταση από το Chrome Web Store της Google.
Η ψεύτικη επέκταση εξαπολύει μια συντονισμένη επίθεση που έχει σχεδιαστεί για να απογοητεύει τους χρήστες στην εκτέλεση επικίνδυνων εντολών.
.webp.jpeg "Χάκερ που χρησιμοποιούν κακόβουλες επεκτάσεις για την εμφάνιση ψεύτικων προειδοποιήσεων προγράμματος περιήγησης")
Η καμπάνια αποκαλύπτει μια πολυεπίπεδη προσέγγιση μόλυνσης που στοχεύει τόσο τα οικιακά όσο και τα εταιρικά δίκτυα. Κατά την εγκατάσταση, η επέκταση παραμένει αδρανής για την πρώτη ώρα πριν ενεργοποιηθεί το καταστροφικό ωφέλιμο φορτίο της.
Αυτή η στρατηγική χρονισμού δημιουργεί απόσταση μεταξύ εγκατάστασης και προβλημάτων, καθιστώντας πιο δύσκολο για τα θύματα να κατηγορήσουν τα προβλήματα του προγράμματος περιήγησής τους σε λογισμικό που προστέθηκε πρόσφατα.
Η λειτουργία επιδεικνύει προσεκτικό σχεδιασμό από παράγοντες απειλών που κατανοούν τη συμπεριφορά των χρηστών.
κυνηγοί αναλυτές διάσημος ότι η καμπάνια προέρχεται από το KongTuke, μια ομάδα παραγόντων που παρακολουθούνται απειλές που δραστηριοποιείται από τις αρχές του 2025.
Οι ερευνητές εντόπισαν πολλαπλά εξελιγμένα στοιχεία, συμπεριλαμβανομένης της επέκτασης NexShield που μιμείται το uBlock Origin Lite, του μηχανισμού επίθεσης CrashFix και ενός άγνωστου προηγουμένως άγνωστου εργαλείου απομακρυσμένης πρόσβασης με βάση την Python που ονομάζεται ModeloRAT.
.webp "Χάκερ που χρησιμοποιούν κακόβουλες επεκτάσεις για την εμφάνιση ψεύτικων προειδοποιήσεων προγράμματος περιήγησης")
Οι εταιρικοί στόχοι τυγχάνουν προνομιακής μεταχείρισης, με τα μηχανήματα που συνδέονται με τομέα να έχουν πρόσβαση σε πιο ισχυρό κακόβουλο λογισμικό σε σύγκριση με αυτόνομα συστήματα, γεγονός που υποδηλώνει ότι οι εισβολείς δίνουν προτεραιότητα σε συμβιβασμούς σε επιχειρήσεις.
Μηχανισμός επίθεσης άρνησης υπηρεσίας προγράμματος περιήγησης
Ο πυρήνας του CrashFix βασίζεται σε μια εσκεμμένη επίθεση άρνησης υπηρεσίας κατά του προγράμματος περιήγησης του θύματος. Η επέκταση περιέχει κώδικα που δημιουργεί ένα δισεκατομμύριο συνδέσεις θύρας χρόνου εκτέλεσης σε έναν άπειρο βρόχο.
.webp.jpeg "Χάκερ που χρησιμοποιούν κακόβουλες επεκτάσεις για την εμφάνιση ψεύτικων προειδοποιήσεων προγράμματος περιήγησης")
Κάθε θύρα καταναλώνει μνήμη ενώ η συστοιχία επεκτείνεται χωρίς περιορισμούς, κατακλύζοντας το εσωτερικό σύστημα ανταλλαγής μηνυμάτων του προγράμματος περιήγησης και καταναλώνοντας κύκλους CPU.
Η χρήση της μνήμης αυξάνεται μέχρι να φτάσουμε τα όρια του συστήματος, προκαλώντας σοβαρή επιβράδυνση, παγωμένες καρτέλες και πλήρη σφάλματα του προγράμματος περιήγησης που απαιτούν αναγκαστική έξοδο.
.webp.jpeg "Χάκερ που χρησιμοποιούν κακόβουλες επεκτάσεις για την εμφάνιση ψεύτικων προειδοποιήσεων προγράμματος περιήγησης")
Όταν οι χρήστες επανεκκινούν το πρόγραμμα περιήγησής τους, αντιμετωπίζουν μια ψεύτικη προειδοποίηση ασφαλείας που υποστηρίζει ότι το πρόγραμμα περιήγησης “σταμάτησε ασυνήθιστα”. Η προειδοποίηση καθοδηγεί τα θύματα να ανοίξουν το παράθυρο διαλόγου Εκτέλεση των Windows, να επικολλήσουν μια εντολή στο πρόχειρο και να πατήσουν Enter.
Άγνωστο στους χρήστες, η κακόβουλη επέκταση αντέγραψε στο παρελθόν μια εντολή PowerShell στο πρόχειρό τους. Η εντολή που εμφανίζεται φαίνεται νόμιμη αλλά εκτελεί ένα επικίνδυνο ωφέλιμο φορτίο.
Οι εισβολείς πυροδοτούν σκόπιμα την επίθεση μόνο αφού δημιουργήσουν συνδεσιμότητα C2 και επιβεβαιώσουν την αλληλεπίδραση του χρήστη με το αναδυόμενο παράθυρο, επιδεικνύοντας επιχειρησιακή επίγνωση.
Αυτό συνδυάζει την κοινωνική μηχανική με την τεχνική εκμετάλλευση για καταστροφικά αποτελέσματα.
