CrashFix Chrome拡張機能

サイバーセキュリティ研究者らは、「KongTuke」と呼ばれる活発なキャンペーンを発見しました。これは、広告ブロッカーを装った悪意のあるGoogle Chrome拡張機能を悪用するものです。この拡張機能は、ブラウザを意図的にクラッシュさせ、ClickFix型のソーシャルエンジニアリングを通じて、攻撃者が制御するコマンドを被害者に実行させるように設計されていました。この手法の最新進化形は「CrashFix」というコードネームで呼ばれ、最終的にはこれまで文書化されていなかったModeloRATと呼ばれるリモートアクセス型トロイの木馬を拡散させます。

KongTuke（404 TDS、Chaya_002、LandUpdate808、TAG-124としても追跡されている）は、トラフィック分散システム（TDS）として動作します。被害者の環境をプロファイリングし、選択されたターゲットを悪意のあるペイロード配信インフラストラクチャにリダイレクトします。感染したホストへのアクセスは、ランサムウェア運用者を含む他の脅威アクターに販売または譲渡され、二次段階の侵害を可能にします。

TAG-124インフラを悪用する脅威グループとして、Rhysidaランサムウェア、Interlockランサムウェア、TA866（Asylum Ambuscade）などがこれまでに確認されています。2025年4月のレポートによると、この活動はSocGholishおよびD3F@ck Loaderとも関連があるとされています。

Chromeウェブストアから侵害まで

記録されている感染チェーンでは、被害者がオンラインで広告ブロッカーを検索したところ、悪意のある広告が表示され、公式 Chrome ウェブストアで直接ホストされているブラウザ拡張機能にリダイレクトされました。

「NexShield – Advanced Web Guardian」（ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi）という名のこの拡張機能は、「究極のプライバシーシールド」を謳い、広告、トラッカー、マルウェア、そして侵入的なウェブコンテンツをブロックすると主張していました。削除されるまでに、少なくとも5,000回ダウンロードされていました。

技術的には、この拡張機能は正規の広告ブロック拡張機能とほぼ同一のクローンでした。しかし、使い慣れたインターフェースの下には、ブラウザが「異常停止した」という偽のセキュリティ警告を表示し、Microsoft Edgeに関連するとされる偽のスキャンを開始するようユーザーに促すように設計されていました。

信頼を創造するためにクラッシュを仕掛ける

ユーザーがスキャン実行をクリックすると、拡張機能はWindowsの「ファイル名を指定して実行」ダイアログを開き、クリップボードにコピー済みのコマンドを実行するよう指示しました。この指示が表示されるとすぐに、拡張機能は意図的にサービス拒否ルーチンを起動し、無限ループを通じてランタイムポート接続を無限に作成し、同じ手順を最大10億回繰り返しました。

このリソース枯渇により、メモリ消費が極端に増加し、ブラウザの動作が遅くなり、応答しなくなり、最終的にはクラッシュに至りました。意図的な不安定化は副作用ではなく、ソーシャルエンジニアリングによるトリガーでした。

インストールされると、この拡張機能は攻撃者が管理するnexsnield[.]comのサーバーに固有の識別子を送信し、被害者の追跡を可能にしました。悪意のあるアクティビティはインストール後60分間遅延され、その後10分ごとに再実行されました。

DoSルーチンを起動する前に、拡張機能はローカルストレージにタイムスタンプを保存していました。ユーザーがブラウザを強制終了して再起動すると、起動ハンドラがこの値をチェックしました。タイムスタンプが存在する場合、CrashFixポップアップが表示され、タイムスタンプが削除されました。これにより、警告がクラッシュの原因ではなく、クラッシュの結果であるという錯覚が生じていました。

DoSルーチンは、被害者のUUIDが存在すること、コマンド＆コントロールサーバーが正常に応答したこと、そしてポップアップが少なくとも1回は開かれて閉じられたことという3つの条件が満たされた場合にのみ実行されました。このロジックは、攻撃者がペイロードループを完全に起動する前に、ユーザーの操作を確認しようとしていたことを強く示唆しています。

その結果、自己持続的なサイクルが発生しました。フリーズ後に強制的に再起動するたびに、偽の警告が再び表示されました。拡張機能がインストールされたままの場合、10分後にクラッシュが再開されました。

難読化、分析対策、そして自給自足

偽のポップアップには、右クリックのコンテキスト メニューを無効にし、開発者ツールにアクセスするために通常使用されるキーボード ショートカットをブロックするなど、いくつかの分析防止対策が実装されています。

CrashFixコマンドは、正規のWindowsユーティリティであるfinger.exeを悪用し、199.217.98[.]108から第2段階のペイロードを取得して実行しました。KongTukeによるFingerユーティリティの使用は、2025年12月に既に報告されています。

ダウンロードされたペイロードは PowerShell コマンドで、追加のスクリプトを取得していました。このスクリプトは、複数のレイヤーの Base64 エンコードと XOR 演算によって内容を隠蔽しており、SocGholish 攻撃キャンペーンで長年使用されてきた手法を反映しています。

復号されたスクリプトは、アクティブなプロセスをスキャンし、50種類以上の既知の分析ツールと仮想マシンのインジケーターを検出し、見つかった場合は直ちに終了しました。また、システムがドメインに参加しているか、スタンドアロンのワークグループに属しているかを評価し、同じサーバーに以下の内容を含むHTTP POSTリクエストを送信しました。

• インストールされているウイルス対策製品のリスト
• ホスト分類フラグ: スタンドアロンシステムの場合は「ABCD111」、ドメインに参加しているマシンの場合は「BCDA222」

ModeloRAT: 企業環境向けにカスタマイズ

感染システムがドメインに参加していると判断された場合、感染チェーンはPythonベースのWindowsリモートアクセス型トロイの木馬であるModeloRATの展開で完了します。このマルウェアは、RC4暗号化チャネルを介して170.168.103[.]208または158.247.252[.]178にあるコマンド＆コントロールサーバーと通信します。

ModeloRATはWindowsレジストリを介して永続性を確立し、バイナリ、DLL、Pythonスクリプト、PowerShellコマンドの実行をサポートします。また、ライフサイクル制御機能も組み込まれているため、オペレーターは専用のコマンドを使用してインプラントをリモートで更新したり、終了させたりすることができます。

RAT は、動作検出を回避するために設計された多層ビーコン戦略を実装します。

• 通常の状態では、300 秒ごとにビーコンを送信します。
• サーバーによってアクティブ モードに切り替えられると、構成可能な間隔 (デフォルトは 150 ミリ秒) で積極的にポーリングが実行されます。
• 6 回連続して通信に失敗すると、間隔は 900 秒に戻ります。
• 1 回の失敗の後、150 秒後に再接続を試行してから標準のタイミングに戻ります。

この適応ロジックにより、ModeloRAT はネットワーク トラフィックに溶け込みながら、必要に応じて迅速なオペレータ操作をサポートできます。

2つの感染戦略

ModeloRATがドメイン参加システムで展開されたことは、企業環境への重点的な侵入とネットワークへのより深い侵入を強く示唆していますが、スタンドアロンマシンは異なる多段階のシーケンスでルーティングされました。これらのケースでは、コマンド＆コントロールサーバーは最終的に「TEST PAYLOAD!!!!」というメッセージで応答しており、この並行感染経路はまだ開発中である可能性を示唆しています。

全体像：計画的なソーシャルエンジニアリング

KongTukeのCrashFixキャンペーンは、現代の脅威アクターがソーシャルエンジニアリングを巧妙に巧妙化し、巧妙に制御されたループへと進化させていることを如実に示しています。信頼できるオープンソースプロジェクトを装い、ブラウザを意図的に不安定にし、偽の修正プログラムを提示することで、攻撃者はユーザーの不満をコンプライアンスへと転換しました。

この攻撃は、ブラウザ拡張機能、信頼できるマーケットプレイス、Living Off-The-Land（環境寄生型）ツールが、ステルス性だけでなく、被害者を繰り返し操作して攻撃を自ら開始させることで存続する、回復力のある感染チェーンに融合される仕組みを実証しています。