Siber güvenlik araştırmacıları, web tarayıcısını kasıtlı olarak çökertmek ve kurbanları, ModeloRAT olarak adlandırılan daha önce belgelenmemiş bir uzaktan erişim truva atı (RAT) sunmak için ClickFix benzeri tuzaklar kullanarak keyfi komutlar çalıştırmaları için kandırmak amacıyla reklam engelleyici gibi görünen kötü amaçlı bir Google Chrome uzantısı kullanan KongTuke adlı devam eden bir kampanyanın ayrıntılarını açıkladı.
ClickFix’in bu yeni artışı Huntress tarafından CrashFix olarak kodlandı.
404 TDS, Chaya_002, LandUpdate808 ve TAG-124 olarak da izlenen KongTuke, kurban ana bilgisayarları sistemlerine bulaşan bir yük dağıtım sitesine yönlendirmeden önce profillerini çıkardığı bilinen bir trafik dağıtım sistemine (TDS) verilen addır. Güvenliği ihlal edilen bu ana bilgisayarlara erişim, daha sonra kötü amaçlı yazılım dağıtımı için fidye yazılımı grupları da dahil olmak üzere diğer tehdit aktörlerine devredilir.
TAG-124 altyapısından yararlanan siber suçlu gruplarından bazıları arasında Rhysida fidye yazılımı, Interlock fidye yazılımı ve TA866 (diğer adıyla Asylum Ambuscade) yer alıyor; Nisan 2025 tarihli Kaydedilmiş Gelecek raporuna göre tehdit aktörü aynı zamanda SocGholish ve D3F@ck Loader ile de ilişkilendiriliyor.
Siber güvenlik şirketi tarafından belgelenen saldırı zincirinde, kurbanın, kendisini Resmi Chrome Web Mağazası’nda barındırılan bir uzantıya yönlendiren kötü amaçlı bir reklamla karşılaştığında bir reklam engelleyici aradığı söyleniyor.
Söz konusu tarayıcı uzantısı “NexShield – Advanced Web Guardian” (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi), “en üst düzey gizlilik kalkanı” kılığına giriyor ve kullanıcıları reklamlara, izleyicilere, kötü amaçlı yazılımlara ve web sayfalarındaki izinsiz içeriğe karşı koruduğunu iddia ediyor. En az 5.000 kez indirildi. Şu anda artık indirilemiyor.
Huntress’e göre uzantı, tüm büyük web tarayıcılarında kullanılabilen meşru bir reklam engelleyici eklentisi olan uBlock Origin Lite sürüm 2025.1116.1841’in neredeyse aynı bir kopyasıdır. Tarayıcının “anormal şekilde durduğunu” iddia eden ve Microsoft Edge tarafından tespit edilen potansiyel bir güvenlik tehdidini düzeltmek için kullanıcıları bir “tarama” çalıştırmaya yönlendiren sahte bir güvenlik uyarısı görüntüleyecek şekilde tasarlandı.
Kullanıcının taramayı çalıştırmayı seçmesi durumunda, kurbana, Windows Çalıştır iletişim kutusunu açmasını ve görüntülenen komutu panoya kopyalayarak yapıştırmasını ve çalıştırmasını söyleyen sahte bir güvenlik uyarısı sunulur. Bu da, aynı adımın bir milyar yinelemesini tekrar tekrar tetikleyen sonsuz bir döngü aracılığıyla yeni çalışma zamanı bağlantı noktası bağlantıları oluşturan bir hizmet reddi (DoS) saldırısı başlatarak tarayıcının tamamen donmasına ve tarayıcının çökmesine neden olur.
Bu kaynak tüketme tekniği, aşırı bellek tüketimine neden olarak web tarayıcısının yavaşlamasına, yanıt vermemesine ve sonunda çökmesine neden olur.
Uzantı, yüklendikten sonra saldırganın kontrol ettiği bir sunucuya (“nexsnield) benzersiz bir kimlik iletmek üzere de tasarlanmıştır.[.]com”), operatörlere kurbanları takip etme yeteneği verir. Ayrıca, kötü amaçlı davranışın yüklendikten yalnızca 60 dakika sonra tetiklenmesini sağlayan gecikmeli bir yürütme mekanizmasını benimser. Bundan sonra, yük her 10 dakikada bir yürütülür.
Araştırmacılar Anna Pham, Tanner Filip ve Dani Lopez, “Açılır pencere yalnızca tarayıcı yanıt vermemeye başladıktan sonra tarayıcı başlatıldığında görünüyor” dedi. “DoS yürütülmeden önce, yerel depolama alanında bir zaman damgası depolanır. Kullanıcı tarayıcıyı zorla kapatıp yeniden başlattığında, başlangıç işleyicisi bu zaman damgasını kontrol eder ve eğer varsa CrashFix açılır penceresi görünür ve zaman damgası kaldırılır.”
“DoS yalnızca UUID mevcutsa (yani kullanıcı izleniyorsa) yürütülür, C2 sunucusu bir getirme isteğine başarılı bir şekilde yanıt verirse ve açılır pencere en az bir kez açılıp ardından kapatılırsa. Bu son koşul, yükü tetiklemeden önce kullanıcının uzantıyla etkileşimini sağlamak için kasıtlı olabilir.”
Sonuç olarak, kurban DoS saldırısı nedeniyle yanıt vermemeye başladıktan sonra tarayıcıyı zorla kapatıp yeniden başlattığında sahte uyarıyı etkinleştirerek kendi başına bir döngü oluşturur. Uzantının kaldırılmaması durumunda saldırı 10 dakika sonra tekrar tetiklenir.
Açılır pencerede ayrıca sağ tıklama bağlam menülerini devre dışı bırakan ve geliştirici araçlarını başlatmak için klavye kısayollarını kullanma girişimlerini önleyen çeşitli analiz önleme teknikleri de bulunur. CrashFix komutu, saldırganın sunucusundan bir sonraki adım yükünü almak ve yürütmek için yasal Windows yardımcı programı Finger.exe’yi kullanır (“199.217.98″)[.]108”). KongTuke’un Finger komutunu kullanımı Aralık 2025’te güvenlik araştırmacısı Brad Duncan tarafından belgelendi.
Sunucudan alınan veri, ikincil bir PowerShell betiğini almak üzere yapılandırılmış bir PowerShell komutudur ve bu komut, bir sonraki aşamadaki kötü amaçlı yazılımı gizlemek için birden fazla Base64 kodlama katmanı ve XOR işlemi kullanarak SocGholish’in taktik kitabından bir sayfa çıkarır.
Şifresi çözülen blob, çalışan süreçleri 50’den fazla analiz aracı ve sanal makine göstergesi açısından tarar ve bulunursa yürütmeyi derhal durdurur. Ayrıca makinenin etki alanına bağlı mı yoksa bağımsız mı olduğunu kontrol eder ve aynı sunucuya iki parça bilgi içeren bir HTTP POST isteği gönderir:
- Yüklü antivirüs ürünlerinin listesi
- Bağımsız “WORKGROUP” makineleri için “ABCD111” değerini veya etki alanına katılan ana bilgisayarlar için “BCDA222” değerini taşıyan bir bayrak
Güvenliği ihlal edilen sistemin etki alanına katılmış olarak işaretlenmesi durumunda KongTuke saldırı zinciri, komuta ve kontrol (C2) iletişimleri için RC4 şifrelemesini kullanan tam özellikli Python tabanlı bir Windows RAT olan ModeloRAT’ın konuşlandırılmasıyla sonuçlanır (“170.168.103″)[.]208” veya “158.247.252[.]178”), Kayıt Defteri’ni kullanarak kalıcılığı ayarlar ve ikili dosyaların, DLL’lerin, Python komut dosyalarının ve PowerShell komutlarının yürütülmesini kolaylaştırır.
ModeloRAT, bir kendi kendine güncelleme (“VERSION_UPDATE”) veya çıkış (“TERMINATION_SIGNAL”) komutunu aldıktan sonra kendisini güncelleyecek veya sonlandıracak donanıma sahiptir. Ayrıca radarın altından uçmak için çeşitli bir işaret mantığı uygular.
Huntress, “Normal çalışma altında, 300 saniyelik (5 dakika) standart bir aralık kullanır” dedi. “Sunucu bir etkinleştirme yapılandırma komutu gönderdiğinde, implant, varsayılan olarak 150 milisaniyeye ayarlanan yapılandırılabilir bir aralıkta hızlı yoklamayla aktif moda girer.”
“Altı veya daha fazla ardışık iletişim hatasından sonra RAT, tespit edilmekten kaçınmak için 900 saniyelik (15 dakikalık) uzatılmış bir aralığa geri döner. Tek bir iletişim hatasından kurtulurken, normal işlemlere devam etmeden önce 150 saniyelik bir yeniden bağlanma aralığı kullanır.”
Etki alanına katılan makinelerin ModeloRAT ile hedeflenmesi, KongTuke’un daha derin erişimi kolaylaştırmak için kurumsal ortamların peşine düştüğünü öne sürerken, bağımsız iş istasyonlarındaki kullanıcılar, C2 sunucusunun hala test aşamasında olabileceğini belirten “TEST YÜKÜ!!!!” mesajıyla yanıt vermesiyle biten ayrı bir çok aşamalı enfeksiyon dizisine tabi tutulur.
Siber güvenlik şirketi, “KongTuke’un CrashFix kampanyası, tehdit aktörlerinin sosyal mühendislik taktiklerini nasıl geliştirmeye devam ettiklerini gösteriyor” dedi. “Güvenilir bir açık kaynaklı projeyi (uBlock Origin Lite) taklit ederek, kullanıcının tarayıcısını bilerek çökerterek ve ardından sahte bir düzeltme sunarak, kullanıcının hayal kırıklığını besleyen, kendi kendini idame ettiren bir enfeksiyon döngüsü oluşturdular.”