Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một chiến dịch đang diễn ra có tên KongTuke. Chiến dịch này sử dụng một tiện ích mở rộng độc hại của Google Chrome giả mạo trình chặn quảng cáo để cố ý làm sập trình duyệt web và lừa nạn nhân chạy các lệnh tùy ý bằng cách sử dụng các chiêu trò giống như ClickFix, từ đó phát tán một loại trojan truy cập từ xa (RAT) chưa từng được ghi nhận trước đây có tên ModeloRAT.
Sự leo thang mới này của ClickFix đã được Huntress đặt tên là CrashFix.
Tổng quan về chiến dịch KongTuke
KongTuke, còn được theo dõi với các tên gọi 404 TDS, Chaya_002, LandUpdate808, và TAG-124, là tên của một hệ thống phân phối lưu lượng (TDS) nổi tiếng với việc lập hồ sơ các máy chủ nạn nhân trước khi chuyển hướng họ đến một trang phân phối payload để lây nhiễm hệ thống của họ. Quyền truy cập vào các máy chủ bị xâm nhập này sau đó được chuyển giao cho các tác nhân đe dọa khác, bao gồm các nhóm ransomware, để phân phối phần mềm độc hại tiếp theo.
Một số nhóm tội phạm mạng đã tận dụng cơ sở hạ tầng TAG-124 bao gồm Rhysida ransomware, Interlock ransomware, và TA866 (còn gọi là Asylum Ambuscade), với tác nhân đe dọa này cũng liên quan đến SocGholish và D3F@ck Loader, theo báo cáo của Recorded Future vào tháng 4 năm 2025.
Chi tiết chuỗi tấn công
Trong chuỗi tấn công được công ty an ninh mạng ghi nhận, nạn nhân được cho là đã tìm kiếm một trình chặn quảng cáo khi họ nhận được một quảng cáo độc hại, chuyển hướng họ đến một tiện ích mở rộng được lưu trữ trên Official Chrome Web Store.
Tiện ích mở rộng trình duyệt đang được đề cập, "NexShield – Advanced Web Guardian" (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi), giả mạo là "lá chắn quyền riêng tư tối thượng" và tuyên bố bảo vệ người dùng khỏi quảng cáo, trình theo dõi, phần mềm độc hại và nội dung xâm nhập trên các trang web. Nó đã được tải xuống ít nhất 5.000 lần. Hiện tại, nó không còn khả dụng để tải xuống.
Tiện ích mở rộng này, theo Huntress, là một bản sao gần như giống hệt của uBlock Origin Lite phiên bản 2025.1116.1841, một tiện ích chặn quảng cáo hợp pháp có sẵn cho tất cả các trình duyệt web lớn. Nó được thiết kế để hiển thị một cảnh báo bảo mật giả mạo, tuyên bố trình duyệt đã "dừng bất thường" và nhắc người dùng chạy một "scan" để khắc phục mối đe dọa bảo mật tiềm ẩn được phát hiện bởi Microsoft Edge.
Nếu người dùng chọn chạy quá trình scan, nạn nhân sẽ được hiển thị một cảnh báo bảo mật giả mạo, hướng dẫn họ mở hộp thoại Windows Run và dán lệnh đã được sao chép vào clipboard, sau đó thực thi. Điều này, đến lượt nó, khiến trình duyệt bị đóng băng hoàn toàn, làm sập trình duyệt bằng cách khởi động một cuộc tấn công từ chối dịch vụ (DoS) tạo ra các kết nối cổng runtime mới thông qua một vòng lặp vô hạn kích hoạt một tỷ lần lặp lại cùng một bước liên tục.
Kỹ thuật cạn kiệt tài nguyên này dẫn đến việc tiêu thụ bộ nhớ quá mức, khiến trình duyệt web trở nên chậm, không phản hồi và cuối cùng là sập.
Cơ chế hoạt động của tiện ích mở rộng
Sau khi cài đặt, tiện ích mở rộng cũng được thiết kế để truyền một ID duy nhất đến một máy chủ do kẻ tấn công kiểm soát ("nexsnield[.]com"), cho phép các tác nhân theo dõi nạn nhân. Ngoài ra, nó áp dụng một cơ chế thực thi bị trì hoãn, đảm bảo hành vi độc hại chỉ được kích hoạt 60 phút sau khi cài đặt. Sau đó, payload được thực thi cứ sau 10 phút.
"Cửa sổ bật lên chỉ xuất hiện khi khởi động trình duyệt sau khi trình duyệt không phản hồi," các nhà nghiên cứu Anna Pham, Tanner Filip, và Dani Lopez cho biết. "Trước khi DoS thực thi, một dấu thời gian được lưu trữ trong local storage. Khi người dùng buộc thoát và khởi động lại trình duyệt, trình xử lý khởi động sẽ kiểm tra dấu thời gian này, và nếu nó tồn tại, cửa sổ bật lên CrashFix sẽ xuất hiện, và dấu thời gian sẽ bị xóa."
"DoS chỉ thực thi nếu UUID tồn tại (nghĩa là người dùng đang bị theo dõi), máy chủ C2 phản hồi thành công một yêu cầu tìm nạp, và cửa sổ bật lên đã được mở ít nhất một lần và sau đó đóng lại. Điều kiện cuối cùng này có thể là cố ý để đảm bảo tương tác của người dùng với tiện ích mở rộng trước khi kích hoạt payload."
Kết quả cuối cùng là nó tạo ra một vòng lặp riêng, kích hoạt cảnh báo giả mỗi khi nạn nhân buộc thoát và khởi động lại trình duyệt sau khi nó không phản hồi do cuộc tấn công DoS. Trong trường hợp tiện ích mở rộng không bị xóa, cuộc tấn công sẽ được kích hoạt lại sau 10 phút.
Kỹ thuật chống phân tích và phân phối Payload
Cửa sổ bật lên cũng kết hợp nhiều kỹ thuật chống phân tích khác nhau, vô hiệu hóa menu ngữ cảnh chuột phải và ngăn chặn các nỗ lực sử dụng phím tắt để khởi chạy các công cụ dành cho nhà phát triển. Lệnh CrashFix sử dụng tiện ích Windows hợp pháp, finger.exe, để truy xuất và thực thi payload giai đoạn tiếp theo từ máy chủ của kẻ tấn công ("199.217.98[.]108"). Việc KongTuke sử dụng lệnh Finger đã được nhà nghiên cứu bảo mật Brad Duncan ghi nhận vào tháng 12 năm 2025.
Payload nhận được từ máy chủ là một lệnh PowerShell được cấu hình để truy xuất một script PowerShell thứ cấp, mà đến lượt nó, lấy cảm hứng từ cách thức hoạt động của SocGholish, sử dụng nhiều lớp mã hóa Base64 và các phép toán XOR để che giấu phần mềm độc hại giai đoạn tiếp theo.
Blob đã giải mã quét các tiến trình đang chạy để tìm hơn 50 công cụ phân tích và chỉ báo máy ảo, và ngay lập tức ngừng thực thi nếu tìm thấy. Nó cũng kiểm tra xem máy có được tham gia vào domain hay độc lập, và gửi một yêu cầu HTTP POST đến cùng máy chủ chứa hai phần thông tin:
- Một danh sách các sản phẩm antivirus đã cài đặt
- Một cờ với giá trị "ABCD111" cho các máy "WORKGROUP" độc lập hoặc "BCDA222" cho các máy được tham gia domain
ModeloRAT và mục tiêu tấn công
Trong trường hợp hệ thống bị xâm nhập được đánh dấu là domain-joined, chuỗi tấn công KongTuke kết thúc bằng việc triển khai ModeloRAT, một RAT Windows dựa trên Python đầy đủ tính năng sử dụng mã hóa RC4 cho các giao tiếp command-and-control (C2) ("170.168.103[.]208" hoặc "158.247.252[.]178"), thiết lập tính bền bỉ bằng cách sử dụng Registry, và tạo điều kiện thực thi các binaries, DLL, script Python, và lệnh PowerShell.
ModeloRAT được trang bị để cập nhật hoặc tự chấm dứt khi nhận được lệnh tự cập nhật ("VERSION_UPDATE") hoặc thoát ("TERMINATION_SIGNAL"). Nó cũng triển khai một logic beaconing đa dạng để tránh bị phát hiện.
"Trong hoạt động bình thường, nó sử dụng một khoảng thời gian tiêu chuẩn là 300 giây (5 phút)," Huntress cho biết. "Khi máy chủ gửi lệnh cấu hình kích hoạt, implant sẽ chuyển sang chế độ hoạt động với việc thăm dò nhanh chóng theo một khoảng thời gian có thể cấu hình, mặc định là 150 mili giây."
"Sau sáu hoặc nhiều lần thất bại giao tiếp liên tiếp, RAT sẽ lùi lại sang khoảng thời gian mở rộng là 900 giây (15 phút) để tránh bị phát hiện. Khi khôi phục từ một lần thất bại giao tiếp duy nhất, nó sử dụng khoảng thời gian kết nối lại là 150 giây trước khi tiếp tục hoạt động bình thường."
Mặc dù việc nhắm mục tiêu các máy domain-joined bằng ModeloRAT cho thấy KongTuke đang nhắm vào môi trường doanh nghiệp để tạo điều kiện truy cập sâu hơn, nhưng người dùng trên các máy trạm độc lập phải chịu một chuỗi lây nhiễm đa giai đoạn riêng biệt kết thúc bằng việc máy chủ C2 phản hồi bằng thông báo "TEST PAYLOAD!!!!", cho thấy nó vẫn có thể đang trong giai đoạn thử nghiệm.
Kết luận
Chiến dịch CrashFix của KongTuke chứng minh cách các tác nhân đe dọa tiếp tục phát triển các chiến thuật social engineering của họ. Bằng cách mạo danh một dự án mã nguồn mở đáng tin cậy (uBlock Origin Lite), cố ý làm sập trình duyệt của người dùng và sau đó đưa ra một bản sửa lỗi giả mạo, chúng đã xây dựng một vòng lặp lây nhiễm tự duy trì, lợi dụng sự thất vọng của người dùng.
