كشف باحثون في الأمن السيبراني تفاصيل حملة مستمرة أطلق عليها اسم KongTuke، تعتمد على امتداد خبيث لمتصفح Google Chrome يتظاهر بأنه أداة لحجب الإعلانات. الامتداد المعروف باسم NexShield – Advanced Web Guardian تسبب في تعطيل المتصفح عمداً عبر حيلة أطلق عليها الباحثون اسم CrashFix، وهي نسخة مطوّرة من أسلوب ClickFix الذي يستغل رسائل الأعطال المزيفة لإقناع الضحايا بتنفيذ أوامر عشوائية تؤدي إلى تثبيت برمجية تجسس جديدة غير موثقة سابقاً، أطلق عليها اسم ModeloRAT.
الحملة ترتبط ببنية تحتية معروفة باسم TAG-124، والتي سبق أن استخدمتها مجموعات مثل Rhysida وInterlock وTA866، إضافة إلى ارتباطات مع أدوات مثل SocGholish وD3F@ck Loader.
امتداد مزيف يتخفى خلف uBlock Origin Lite
الامتداد الخبيث الذي جرى تحميله أكثر من 5,000 مرة من متجر كروم الرسمي، كان نسخة شبه مطابقة من أداة uBlock Origin Lite الشرعية. لكنه صُمم ليعرض تحذيراً أمنياً مزيفاً يدّعي أن المتصفح توقف بشكل غير طبيعي، ويحث المستخدم على تشغيل “فحص” أمني.
عند تنفيذ التعليمات، يُطلب من الضحية فتح نافذة Windows Run ولصق أمر مخزن مسبقاً في الحافظة، ما يؤدي إلى هجوم Denial-of-Service (DoS) يستهلك موارد الجهاز عبر حلقة تشغيلية متكررة تصل إلى مليار تكرار، مسببة تجميد المتصفح وانهياره.
الامتداد يرسل أيضاً معرفاً فريداً إلى خادم خاضع لسيطرة المهاجمين، ويعتمد آلية تأخير زمنية بحيث لا يبدأ السلوك الخبيث إلا بعد مرور ساعة من التثبيت، ثم يتكرر كل عشر دقائق.
آليات متقدمة للتضليل والتخفي
وفقاً لشركة Huntress، يعتمد الامتداد على تقنيات مضادة للتحليل، مثل تعطيل القوائم السياقية ومنع استخدام اختصارات لوحة المفاتيح للوصول إلى أدوات المطور. كما يستخدم أداة finger.exe الشرعية في ويندوز لجلب الحمولة التالية من خادم المهاجمين.
الحمولة عبارة عن أوامر PowerShell مشفرة بطبقات متعددة من Base64 وعمليات XOR لإخفاء البرمجية التالية. هذه البرمجية تتحقق من وجود أدوات تحليل أو مؤشرات بيئة افتراضية، وتتوقف فوراً إذا اكتشفتها. كما ترسل قائمة ببرامج مكافحة الفيروسات المثبتة، إضافة إلى رمز يحدد ما إذا كان الجهاز ضمن بيئة عمل مرتبطة بنطاق (Domain-joined) أو جهاز مستقل.
ModeloRAT يستهدف بيئات الشركات
في حال كان الجهاز مرتبطاً بنطاق مؤسسي، تنتهي سلسلة الهجوم بتثبيت ModeloRAT، وهو حصان طروادة للتحكم عن بعد مكتوب بلغة Python، يستخدم تشفير RC4 للتواصل مع خوادم القيادة والسيطرة، ويؤمن استمراريته عبر سجل النظام (Registry).
ModeloRAT قادر على تنفيذ ملفات ثنائية وDLL وسكربتات بايثون وأوامر PowerShell، كما يمكنه تحديث نفسه أو إنهاء عمله بناءً على أوامر محددة. ولتفادي الرصد، يعتمد منطقاً متغيراً في إرسال الإشارات (Beaconing)، حيث يعمل بشكل طبيعي كل خمس دقائق، لكنه يتحول إلى وضع نشط بسرعة استقصاء تصل إلى 150 ملي ثانية عند تلقي أوامر تفعيل، ثم يتراجع إلى 15 دقيقة عند فشل الاتصالات المتكررة.
أما الأجهزة المستقلة، فتتعرض لسلسلة إصابات متعددة المراحل تنتهي برسالة تجريبية من الخادم (“TEST PAYLOAD!!!!”)، ما يشير إلى أن الهجوم ما زال في طور الاختبار.
