Huntressの脅威インテリジェンス研究者は、KongTuke脅威アクターグループが主導する高度なブラウザ拡張機能キャンペーンを発見した。これは、正規のuBlock Origin Lite拡張機能になりすました悪意ある広告ブロッカーを特徴としている。
このキャンペーンは偽のブラウザクラッシュ警告を武器化し、ユーザーをだまして悪意あるPowerShellコマンドを実行させ、最終的に企業ネットワークを標的とする、これまで文書化されていなかったPythonベースのリモートアクセス型トロイの木馬「ModeloRAT」を配信する。
2026年1月、Huntressのシニア・セキュリティ・オペレーションズ・アナリストであるTanner Filipは、NexShieldという悪意あるブラウザ拡張機能を展開する脅威アクターを特定した。この拡張機能は、ブラウザが「異常停止した」と主張する偽のセキュリティ警告を表示し、修復スキャンの実行をユーザーに促す。
CrashFixと名付けられたこのキャンペーンは、2025年初頭に追跡が始まって以来のKongTukeの戦術における大きな進化を示している。
攻撃チェーンは、被害者が広告ブロッカーを検索し、悪意ある広告に遭遇して公式のChrome Web Storeへリダイレクトされるところから始まる。
メールアドレス「[email protected]」で登録されたNexShield拡張機能は、正規のChrome Web Store上のcpcdkmjddocikjdkbbeiaafnpdbdafmiにホストされており、この作戦に偽の信頼性を与えている。
NexShieldは、正規のuBlock Origin Lite(バージョン2025.1116.1841)とほぼ同一であり、脅威アクターは単純な検索・置換操作でコードをリブランドしている。
しかし、NexShieldのbackground.jsファイルは約14%大きく、悪意あるペイロードを収容する3,276バイトの追加データが含まれている。
この拡張機能はNexsnield.]comとコマンド&コントロール通信を確立する。特に、拡張機能名の「h」を「n」に置き換えたタイポスクワッティングが用いられている。
インストール後、この拡張機能はChromeのAlarms APIを使用して60分の遅延実行メカニズムを実装し、インストールと悪意ある挙動の心理的な結び付きを弱める。
遅延後、この拡張機能は、10億回の反復を試みるループを通じて無限のランタイムポート接続を作成し、被害者のブラウザに対してサービス拒否攻撃を開始する。
UUIDの生成は、基本的な分析を追跡するために正規の拡張機能で一般的に行われる。しかしこのケースでは、UUIDが攻撃者管理のインフラ(nexsnield[.]com)へ送信される。
このリソース枯渇手法により、ブラウザの深刻な低速化、応答不能、そして最終的なクラッシュが引き起こされる。
被害者がクラッシュしたブラウザを再起動すると、ブラウザが異常停止したと主張する偽のセキュリティ警告が表示され、Windowsの「ファイル名を指定して実行」ダイアログを開いてクリップボードから貼り付けるよう指示される。
タイトなループとポート作成がCPUサイクルを消費し、Chromeの内部メッセージング基盤が過負荷になる。
この拡張機能は、正規の修復コマンドに偽装した悪意あるPowerShellコマンドを密かにコピーする。
このコマンドは、正規のWindowsユーティリティであるfinger.exeをLiving-off-the-Land Binaryとして転用し、199.217.98[.]108にある攻撃者管理インフラからペイロードを取得して実行する。
このキャンペーンは高度な被害者プロファイリングを用い、ドメイン参加済みの企業マシンと単体の家庭用システムを区別する。ドメイン参加ホストには、WinPythonのポータブル配布版に同梱されたフル機能のPythonバックドアであるModeloRATが配布される。
ModeloRATはコマンド&コントロール通信にRC4暗号化を実装し、正規ソフトウェア名を装ったWindowsレジストリのRunキーによって永続化を確立し、実行ファイル、DLL、Pythonスクリプトなど複数のペイロード種別をサポートする。
このマルウェアは、170.168.103[.]208および158.247.252[.]178にハードコードされたコマンド&コントロールサーバーと、適応的なビーコン間隔で通信する。
通常動作ではModeloRATは300秒ごとにビーコンを送信するが、サーバーから命令されると150ミリ秒間隔のポーリングを行うアクティブモードに入る。
通信失敗が複数回連続すると、検知回避のために900秒間隔へとバックオフする。
組織は、不審な権限要求を伴う最近インストールされたブラウザ拡張機能を精査し、ブラウザ拡張機能の許可リスト(allowlisting)ポリシーを実装すべきである。
セキュリティチームは、finger.exeの異常な実行を監視すべきであり、特にリネームされている場合や一時ディレクトリから実行されている場合に注意が必要である。
ネットワーク監視は、特定されたコマンド&コントロールインフラへのビーコン通信、および.topドメインを標的とするドメイン生成アルゴリズムのパターンに焦点を当てるべきである。
HKCU\Software\Microsoft\Windows\CurrentVersion\Runにおいて正規ソフトウェア名を模倣した永続化エントリをレジストリ監視することで、ModeloRATの展開試行を検知できる。
侵害の指標(IOC)
| 項目 / IOC | 説明 / 目的 | 追加情報 / SHA256 |
|---|---|---|
| cpcdkmjddocikjdkbbeiaafnpdbdafmi | NexShieldのChrome拡張機能ID | — |
| nexsnield[.]com | 拡張機能テレメトリ用の主要C2サーバー。被害者UUIDを含むインストール/更新/アンインストールのビーコンを受信 | — |
| 199.217.98[.]108 | finger.exeペイロードをホスト |
URL: hxxp://temp[.]sh/utDKu/138d2a62b73e89fc4d09416bcefed27e139ae90016ba4493efc5fbf43b66acfa.exe |
| aa.exe | 不明なペイロード | SHA256: fbfce492d1aa458c0ccc8ce4611f0e2d00913c8d51b5016ce60a7f59db67de67 |
| background.js | 拡張機能の中核スクリプト | SHA256: 6399c686eba09584bbbb02f31d398ace333a2b57529059849ef97ce7c27752f4 |
| 16933906614.dll | GateKeeper .NETペイロード | IP: 170.168.103[.]208 |
| 158.247.252[.]178 | ModeloRATのC2サーバー | — |
| HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MonitoringService | ModeloRATの永続化メカニズム | — |
| Dropbox file | ModeloRATペイロード配信ZIP | URL: hxxps://www.dropbox[.]com/scl/fi/6gscgf35byvflw4y6x4i0/b1.zip?rlkey=bk2hvxvw53ggzhbjiftppej50&st=yyxnfu71&dl=1SHA256: c15f44d6abb3a2a882ffdc9b90f7bb5d1a233c0aa183eb765aa8bfba5832c8c6 |
| modes.py | ModeloRATペイロードのコンポーネント | — |
| CPCDKMJDDOCIKJDKBBEIAAFNPDBDAFMI_2025_1116_1842_0.crx | Chrome拡張機能パッケージ | SHA256: c46af9ae6ab0e7567573dbc950a8ffbe30ea848fac90cd15860045fe7640199c |
| [email protected] | NexShield開発者の登録メールアドレス | — |
翻訳元: https://gbhackers.com/browser-extensions/
