Siber güvenlik araştırmacıları, alışılmadık ama etkili bir taktik kullanan karmaşık bir kötü amaçlı yazılım kampanyası keşfetti: kullanıcıların tarayıcılarını kasıtlı olarak çökertmek.
CrashFix adlı tehdit, meşru reklam engelleyici NexShield kılığına giren kötü amaçlı bir Chrome uzantısı aracılığıyla çalışıyor.
Kullanıcılar çevrimiçi olarak gizlilik araçları aradığında, kötü amaçlı reklamlar onları Google’ın Chrome Web Mağazası’ndan güvenilir görünen bir uzantıyı indirmeye yönlendiriyor.
Sahte uzantı, kullanıcıların tehlikeli komutları yürütmesini engellemek için tasarlanmış koordineli bir saldırı başlatır.
.webp)
Kampanya, hem ev hem de kurumsal ağları hedef alan çok katmanlı bir enfeksiyon yaklaşımını ortaya koyuyor. Kurulumun ardından uzantı, yıkıcı yükünü etkinleştirmeden önce ilk saat boyunca hareketsiz kalır.
Bu zamanlama stratejisi, kurulum ile sorunlar arasında mesafe yaratarak mağdurların tarayıcı sorunlarının sorumluluğunu yeni eklenen yazılımlara yüklemelerini zorlaştırıyor.
Operasyon, kullanıcı davranışını anlayan tehdit aktörlerinin dikkatli planlama yaptığını gösteriyor.
Huntress analistleri, kampanyanın 2025’in başlarından bu yana aktif olan, takip edilen bir tehdit aktörü grubu olan KongTuke’den kaynaklandığını belirtti.
Araştırmacılar, uBlock Origin Lite’ı taklit eden NexShield uzantısı, CrashFix saldırı mekanizması ve ModeloRAT adı verilen daha önce bilinmeyen Python tabanlı bir uzaktan erişim aracı dahil olmak üzere çok sayıda karmaşık bileşen tespit etti.
.webp)
Etki alanına katılan makinelerin bağımsız sistemlere kıyasla daha güçlü kötü amaçlı yazılımlara erişmesi nedeniyle kurumsal hedefler ayrıcalıklı muamele görüyor; bu da saldırganların kurumsal risklere öncelik vermesine işaret ediyor.
Tarayıcı Hizmet Reddi Saldırı Mekanizması
CrashFix’in çekirdeği, kurbanın tarayıcısına yönelik kasıtlı bir hizmet reddi saldırısına dayanır. Uzantı, sonsuz bir döngüde bir milyar çalışma zamanı bağlantı noktası bağlantısı oluşturan kodu içerir.
.webp)
Dizi sınırsız bir şekilde genişlerken her bağlantı noktası belleği tüketir, bu da tarayıcının dahili mesajlaşma sistemini zorlar ve CPU döngülerini tüketir.
Bellek kullanımı sistem sınırlarına ulaşılıncaya kadar artar ve bu da ciddi yavaşlamaya, sekmelerin donmasına ve zorla çıkmayı gerektiren tam tarayıcı çökmelerine neden olur.
.webp)
Kullanıcılar tarayıcılarını yeniden başlattıklarında, tarayıcının “anormal şekilde durdurulduğunu” iddia eden sahte bir güvenlik uyarısıyla karşılaşırlar. Uyarı, kurbanlara Windows Çalıştır iletişim kutusunu açmaları, bir pano komutu yapıştırmaları ve Enter tuşuna basmaları talimatını veriyor.
Kullanıcıların bilmediği kötü amaçlı uzantı daha önce bir PowerShell komutunu panolarına kopyalamıştı. Görüntülenen komut meşru görünüyor ancak bunun yerine tehlikeli bir yük yürütüyor.
Saldırganlar, saldırıyı yalnızca C2 bağlantısı kurduktan ve kullanıcının pop-up ile etkileşimini onayladıktan sonra kasıtlı olarak tetikleyerek operasyonel farkındalık gösterir.
Bu, yıkıcı sonuçlar için sosyal mühendisliği teknik sömürüyle birleştirir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
