Une extension malveillante se faisant passer pour un bloqueur de publicité provoque des plantages répétés du navigateur avant de pousser les victimes à exécuter les commandes fournies par l’attaquant, déployant finalement un nouveau RAT basé sur Python.
Des chercheurs en sécurité ont découvert une campagne d’extension de navigateur malveillante, baptisée CrashFix, qui plante délibérément les navigateurs des victimes et utilise ensuite la confusion qui en résulte pour inciter les utilisateurs à exécuter des commandes fournies par l’attaquant.
L’activité, attribuée à un groupe de menaces que Huntress appelle KongTuke, implique une fausse extension Chrome se faisant passer pour un outil de blocage des publicités mais délivrant finalement une nouvelle charge utile de malware.
L’extension, que Huntress a identifiée comme NexShield-Advanced Web Protection, a été distribuée via une marque similaire et des métadonnées trompeuses conçues pour ressembler à un outil de sécurité de navigateur légitime, le bloqueur de publicités uBlock Origin Lite. Après l’installation, il reste inactif pendant un certain temps, susceptible d’échapper à toute suspicion immédiate, avant de déstabiliser intentionnellement le navigateur en épuisant les ressources du système et en déclenchant des crashs répétés.
Une fois que le navigateur devient inutilisable, les victimes se voient présenter une fausse invite de « réparation » leur demandant de coller et d’exécuter une commande pour résoudre le problème.
De la fausse protection à l’échec forcé
Selon l’analyse de Huntress, l’extension malveillante n’effectue pas immédiatement d’actions malveillantes. Au lieu de cela, il attend environ une heure après l’installation avant de lancer la routine de blocage. L’extension ouvre des connexions à plusieurs reprises et consomme de la mémoire jusqu’à ce que le navigateur ne réponde plus, obligeant les utilisateurs à redémarrer ou à résoudre ce qui semble être un échec légitime.
« L’extension configure jusqu’à deux minuteries : la première se déclenche une fois après un délai de 60 minutes et la seconde se déclenche toutes les 10 minutes après le déclenchement initial », ont déclaré les chercheurs de Huntress dans un article de blog. « Cette stratégie de synchronisation est en place de sorte que lorsqu’un utilisateur installe l’extension, rien de malveillant ne se produit immédiatement. Soixante minutes plus tard, la charge utile malveillante s’active, et toutes les 10 minutes par la suite, la charge utile continue de s’exécuter. »
Lors du redémarrage, la victime reçoit une alerte indiquant que le navigateur a rencontré une erreur critique et nécessite une correction manuelle. Les victimes sont invitées à ouvrir la boîte de dialogue Exécuter de Windows et à coller une commande déjà copiée dans le presse-papiers. Cette commande lance la prochaine étape de l’attaque.
Huntress a souligné que cette technique reflète une tendance croissante des attaques de type « ClickFix », dans lesquelles les utilisateurs sont socialement incités à exécuter eux-mêmes du code malveillant sous couvert de récupération du système ou de mesures de sécurité. Les techniques ClickFix ont été observées dans plusieurs campagnes liées à la RPDC, y compris des variantes associées à l’opération de longue durée Contagious Interview.
Livraison de la charge utile
Lorsque l’utilisateur exécute les commandes fournies, un processus d’infection en plusieurs étapes commence et déploie finalement un cheval de Troie d’accès à distance basé sur Python, jusqu’alors non documenté, que les chercheurs ont surnommé ModelRAT. Le malware établit la persistance et permet le contrôle à distance du système infecté.
La télémétrie de Huntress suggérait un comportement différent en fonction de l’environnement. Les systèmes joints à un domaine étaient plus susceptibles de recevoir la chaîne de charge utile complète, tandis que les systèmes sans domaine recevaient parfois des étapes plus légères ou incomplètes.
Les chercheurs ont également établi des parallèles entre le flux d’exécution de CrashFix et les campagnes SocGholish (FakeUpdates), notant la dépendance partagée à l’égard de l’exécution pilotée par l’utilisateur plutôt que de l’exploitation technique. Comme pour l’activité SocGholish, le succès de l’attaquant dépend de sa capacité à convaincre la victime d’exécuter manuellement une commande sous couvert de correction ou de récupération du système.
Les recommandations comprenaient la suppression des extensions de navigateur non fiables ou similaires et le renforcement des conseils contre l’exécution manuelle de commandes « réparer » provoquées par des erreurs de navigateur. Les chercheurs ont également partagé des indicateurs de compromission (IOC) liés à l’extension malveillante, à l’exécution de commandes et à l’activité de suivi pour faciliter la détection et la réponse.
