Huntress’teki tehdit istihbaratı araştırmacıları, KongTuke tehdit aktörleri grubu tarafından düzenlenen ve meşru uBlock Origin Lite uzantısını taklit eden kötü amaçlı bir reklam engelleyici içeren karmaşık bir tarayıcı uzantısı kampanyasını ortaya çıkardı.
Kampanya, kullanıcıları kötü amaçlı PowerShell komutlarını çalıştırmaya kandırmak için sahte tarayıcı çökme uyarılarını silahlandırıyor ve sonuçta kurumsal ağları hedef alan, daha önce belgelenmemiş Python tabanlı bir uzaktan erişim truva atı olan ModeloRAT’ı sunuyor.
Huntress Kıdemli Güvenlik Operasyonları Analisti Tanner Filip, Ocak 2026’da, tarayıcının “anormal şekilde durduğunu” iddia eden ve kullanıcıları bir düzeltme taraması çalıştırmaya yönlendiren sahte güvenlik uyarıları görüntüleyen NexShield adlı kötü amaçlı bir tarayıcı uzantısı dağıtan tehdit aktörlerini tespit etti.
CrashFix adlı kampanya, izlemenin 2025’in başlarında başlamasından bu yana KongTuke’un taktiklerinde önemli bir evrimi temsil ediyor.
Kötü Amaçlı Reklam Engelleyici
Saldırı zinciri, kurbanların reklam engelleyicileri araması ve onları resmi Chrome Web Mağazası’na yönlendiren kötü amaçlı reklamlarla karşılaşmasıyla başlıyor.
“E-posta” altında kayıtlı NexShield uzantısı[email protected]”, meşru Chrome Web Mağazası’ndaki cpcdkmjddocikjdkbbeiaafnpdbdafmi’de barındırılıyor ve bu da operasyona sahte bir güvenilirlik kazandırıyor.
NexShield, meşru uBlock Origin Lite sürümü 2025.1116.1841 ile neredeyse aynıdır; tehdit aktörleri, kodu yeniden markalamak için basit bul ve değiştir işlemlerini gerçekleştirir.
Ancak NexShield’daki arka plan.js dosyası yaklaşık %14 daha büyüktür ve kötü amaçlı yükü barındıran 3.276 ek bayt içerir.
Uzantı, Nexsnield.com ile komut ve kontrol iletişimi kurar; özellikle uzantı adında “h” yerine “n” harfini kullanarak yazım hatası yapar.
Kurulumun ardından uzantı, Chrome’un Alarm API’sini kullanarak 60 dakikalık gecikmeli bir yürütme mekanizması uygulayarak kurbanın kurulum ile kötü niyetli davranış arasındaki zihinsel ilişkisini zayıflatır.
Gecikmenin ardından uzantı, bir milyar yinelemeyi deneyen bir döngü aracılığıyla sonsuz çalışma zamanı bağlantı noktası bağlantıları oluşturarak kurbanın tarayıcısına bir hizmet reddi saldırısı başlatır.
UUID oluşturma, temel analizleri izlemek için meşru uzantılara yönelik yaygın bir uygulamadır. Ancak bu durumda UUID, saldırganın kontrol ettiği altyapıya (nexsnield) gönderilir.[.]com).
Bu kaynak tüketme tekniği, tarayıcının ciddi şekilde yavaşlamasına, yanıt vermemesine ve sonunda çökmelere neden olur.
CrashFix Sosyal Mühendislik
Kurbanlar çöken tarayıcılarını yeniden başlattıklarında, tarayıcının anormal şekilde durdurulduğunu iddia eden ve kullanıcılara Windows Çalıştır iletişim kutusunu açıp panodan yapıştırma talimatı veren sahte bir güvenlik uyarısı görünüyor.
Sıkı döngü ve bağlantı noktası oluşturma, CPU döngülerini tüketirken Chrome’un dahili mesajlaşma altyapısı da bunalıyor.
Uzantı, yasal bir onarım komutu görünümüne bürünmüş kötü amaçlı bir PowerShell komutunu sessizce kopyalar.
Komut, 199.217.98’de saldırgan tarafından kontrol edilen altyapıdan yükleri almak ve yürütmek için, Karada Yaşayan İkili Program olarak yeniden tasarlanmış meşru bir Windows yardımcı programı olan Finger.exe’den yararlanır.[.]108.
Kampanya, etki alanına bağlı kurumsal makineler ile bağımsız ev sistemleri arasında ayrım yapan gelişmiş kurban profili oluşturmayı kullanıyor. Etki alanına katılan ana bilgisayarlar, WinPython taşınabilir dağıtımıyla birlikte gelen tam özellikli bir Python arka kapısı olan ModeloRAT’ı alır.
ModeloRAT, komut ve kontrol iletişimleri için RC4 şifrelemesini uygular, meşru yazılım adlarını taklit eden Windows Kayıt Defteri Çalıştırması anahtarları aracılığıyla kalıcılık sağlar ve yürütülebilir dosyalar, DLL’ler ve Python komut dosyaları dahil olmak üzere birden fazla yük türünü destekler.
Kötü amaçlı yazılım, 170.168.103 adresindeki sabit kodlu komut ve kontrol sunucularıyla iletişim kurar.[.]208 ve 158.247.252[.]178 uyarlanabilir işaret aralıklarını kullanarak.
Düzenli çalışma altında ModeloRAT her 300 saniyede bir işaret verir, ancak sunucu tarafından komut verildiğinde 150 milisaniyelik yoklamayla aktif moda girer.
Birbirini takip eden çok sayıda iletişim hatasından sonra implant, tespit edilmekten kaçınmak için 900 saniyelik aralıklarla geri çekilir.
Kuruluşlar, şüpheli izin talepleri içeren yeni yüklenen tarayıcı uzantılarını incelemeli ve tarayıcı uzantılarını izin verilenler listesine ekleme politikalarını uygulamalıdır.
Güvenlik ekipleri, özellikle yeniden adlandırıldığında veya geçici dizinlerden yürütüldüğünde, Finger.exe dosyasının olağandışı yürütülmesini izlemelidir.
Ağ izleme, trafiği tanımlanmış komuta ve kontrol altyapısına ve .top etki alanlarını hedefleyen etki alanı oluşturma algoritma modellerine yönlendirmeye odaklanmalıdır.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run içindeki meşru yazılım adlarını taklit eden kalıcılık girişleri için kayıt defteri izleme, ModeloRAT dağıtım girişimlerini algılayabilir.
Uzlaşma göstergeleri
| Öğe / IOC | Açıklama / Amaç | Ek Ayrıntılar / SHA256 |
|---|---|---|
| cpcdkmjddocikjdkbbeiaafnpdbdafmi | NexShield Chrome uzantı kimliği | — |
| Sonraki[.]iletişim | Uzantı telemetrisi için birincil C2 sunucusu; kurban UUID’si ile yükleme/güncelleme/kaldırma işaretlerini alır | — |
| 199.217.98[.]108 | Toplantı sahipleri finger.exe yük | URL’si: hxxp://temp[.]sh/utDKu/138d2a62b73e89fc4d09416bcefed27e139ae90016ba4493efc5fbf43b66acfa.exe |
| aa.exe | Bilinmeyen yük | SHA256: fbfce492d1aa458c0ccc8ce4611f0e2d00913c8d51b5016ce60a7f59db67de67 |
| arka plan.js | Çekirdek uzantı komut dosyası | SHA256: 6399c686eba09584bbbb02f31d398ace333a2b57529059849ef97ce7c27752f4 |
| 16933906614.dll | GateKeeper .NET Yükü | IP: 170.168.103[.]208 |
| 158.247.252[.]178 | ModeloRAT C2 sunucusu | — |
| HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MonitoringService | ModeloRAT için kalıcılık mekanizması | — |
| Dropbox dosyası | ModeloRAT yük teslimi ZIP | URL’si: hxxps://www.dropbox[.]com/scl/fi/6gscgf35byvflw4y6x4i0/b1.zip?rlkey=bk2hvxvw53ggzhbjiftppej50&st=yyxnfu71&dl=1SHA256: c15f44d6abb3a2a882ffdc9b90f7bb5d1a233c0aa183eb765aa8bfba5832c8c6 |
| modlar.py | ModeloRAT veri yükü bileşeni | — |
| CCPCDKMJDDOCIKJDKBBEIAAFNPDBDAFMI_2025_1116_1842_0.crx | Chrome uzantı paketi | SHA256: c46af9ae6ab0e7567573dbc950a8ffbe30ea848fac90cd15860045fe7640199c |
| [email protected] | NexShield geliştiricisi için kayıtlı e-posta | — |
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.