Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Extension Chrome CrashFix

Extension Chrome CrashFix

Par Mezo en Logiciels malveillants, Menace persistante avancée (APT)
Se traduisent par :

Des chercheurs en cybersécurité ont découvert une campagne active, baptisée KongTuke, qui exploite une extension malveillante pour Google Chrome se faisant passer pour un bloqueur de publicités. Cette extension est conçue pour provoquer délibérément le plantage du navigateur et manipuler les victimes afin qu'elles exécutent des commandes contrôlées par l'attaquant, grâce à une technique d'ingénierie sociale similaire à ClickFix. Cette dernière évolution de la technique, nommée CrashFix, permet d'injecter un cheval de Troie d'accès à distance jusqu'alors inconnu, connu sous le nom de ModeloRAT.

KongTuke, également connu sous les noms de code 404 TDS, Chaya_002, LandUpdate808 et TAG-124, fonctionne comme un système de distribution de trafic (TDS). Il profile les environnements des victimes et redirige les cibles sélectionnées vers une infrastructure de diffusion de charges utiles malveillantes. L'accès aux hôtes infectés est ensuite vendu ou transféré à d'autres acteurs malveillants, notamment des opérateurs de ransomware, afin de permettre des compromissions secondaires.

Parmi les groupes de menaces précédemment observés exploitant l'infrastructure TAG-124 figurent les ransomwares Rhysida, Interlock et TA866 (Asylum Ambuscade). Cette activité a également été liée à SocGholish et D3F@ck Loader, selon un rapport d'avril 2025.

Du Chrome Web Store au compromis

Dans la chaîne d'infection documentée, les victimes ont recherché en ligne un bloqueur de publicités et ont vu apparaître une publicité malveillante qui les redirigeait vers une extension de navigateur hébergée directement sur le Chrome Web Store officiel.

L'extension, nommée « NexShield – Advanced Web Guardian » (ID : cpcdkmjddocikjdkbbeiaafnpdbdafmi), se présentait comme un « bouclier de confidentialité ultime » censé bloquer les publicités, les traqueurs, les logiciels malveillants et les contenus web intrusifs. Avant son retrait, elle avait été téléchargée au moins 5 000 fois.

Techniquement, l'extension était un clone quasi identique d'une extension de blocage de publicités légitime. Sous cette interface familière, elle était cependant conçue pour afficher un faux avertissement de sécurité indiquant que le navigateur s'était « arrêté anormalement » et incitant les utilisateurs à lancer une fausse analyse prétendument liée à Microsoft Edge.

Créer un crash pour fabriquer une fiducie

Si l'utilisateur cliquait pour lancer l'analyse, l'extension affichait des instructions pour ouvrir la boîte de dialogue Exécuter de Windows et exécuter une commande déjà copiée dans le presse-papiers. Dès lors, l'extension déclenchait intentionnellement une attaque par déni de service (DoS) créant un nombre infini de connexions permanentes aux ports d'exécution via une boucle infinie, répétant cette opération jusqu'à un milliard de fois.

Cette saturation des ressources a entraîné une consommation excessive de mémoire, rendant le navigateur lent, non réactif et provoquant finalement un plantage. Cette instabilité délibérée n'était pas un effet secondaire, mais bien le déclencheur de l'ingénierie sociale.

Une fois installée, l'extension transmettait un identifiant unique à un serveur contrôlé par l'attaquant à l'adresse nexsnield[.]com, permettant ainsi le suivi des victimes. L'activité malveillante était différée de 60 minutes après l'installation, puis se réexécutait toutes les 10 minutes.

Avant de lancer la routine d'attaque par déni de service (DoS), l'extension enregistrait un horodatage dans le stockage local. Lorsque l'utilisateur forçait la fermeture et redémarrait le navigateur, un gestionnaire de démarrage vérifiait la présence de cette valeur. Si elle était présente, la fenêtre contextuelle CrashFix s'affichait puis supprimait l'horodatage, donnant ainsi l'illusion que l'avertissement était une conséquence du plantage plutôt que sa cause.

L'attaque par déni de service (DoS) n'était exécutée que lorsque trois conditions étaient réunies : l'UUID de la victime existait, le serveur de commande et de contrôle répondait correctement et la fenêtre contextuelle avait été ouverte et fermée au moins une fois. Cette logique laisse fortement penser que les opérateurs souhaitaient confirmer l'interaction de l'utilisateur avant d'activer pleinement la boucle d'exécution.

Il en résultait un cercle vicieux. Chaque redémarrage forcé après un blocage réactivait le faux avertissement. Si l'extension restait installée, le plantage se reproduisait au bout de dix minutes.

Obfuscation, anti-analyse et vie en autarcie

La fausse fenêtre contextuelle mettait en œuvre plusieurs mesures anti-analyse, désactivant les menus contextuels accessibles par clic droit et bloquant les raccourcis clavier généralement utilisés pour accéder aux outils de développement.

La commande CrashFix a abusé de l'utilitaire légitime Windows finger.exe pour récupérer et exécuter une charge utile de deuxième étape depuis 199.217.98[.]108. L'utilisation de l'utilitaire Finger par KongTuke avait déjà été documentée en décembre 2025.

La charge utile téléchargée était une commande PowerShell qui récupérait un script supplémentaire, lequel dissimulait son contenu à travers de multiples couches d'encodage Base64 et d'opérations XOR, rappelant des techniques longtemps associées aux campagnes SocGholish.

Une fois déchiffré, le script a analysé les processus actifs à la recherche de plus de 50 outils d'analyse et indicateurs de machines virtuelles connus, et s'est arrêté immédiatement si l'un d'eux était détecté. Il a également déterminé si le système était joint à un domaine ou faisait partie d'un groupe de travail autonome, puis a renvoyé une requête HTTP POST au même serveur contenant :

  • Liste des produits antivirus installés
  • Indicateur de classification de l'hôte : « ABCD111 » pour les systèmes autonomes et « BCDA222 » pour les machines jointes à un domaine

ModeloRAT : Conçu sur mesure pour les environnements d’entreprise

Si le système infecté était identifié comme appartenant à un domaine, la chaîne d'infection aboutissait au déploiement de ModeloRAT, un cheval de Troie d'accès à distance Windows basé sur Python. Ce logiciel malveillant communique via des canaux chiffrés RC4 avec des serveurs de commande et de contrôle situés aux adresses 170.168.103[.]208 ou 158.247.252[.]178.

ModeloRAT assure la persistance via le Registre Windows et prend en charge l'exécution de fichiers binaires, de DLL, de scripts Python et de commandes PowerShell. Il intègre également des mécanismes de gestion du cycle de vie, permettant aux opérateurs de mettre à jour ou de désactiver l'implant à distance à l'aide de commandes dédiées.

Le RAT met en œuvre une stratégie de balisage à plusieurs niveaux conçue pour échapper à la détection comportementale :

  • Dans des conditions normales, il émet un signal toutes les 300 secondes.
  • Lorsqu'il est activé par le serveur, il effectue des interrogations fréquentes à un intervalle configurable, par défaut de 150 millisecondes.
  • Après six échecs de communication consécutifs, l'intervalle passe à 900 secondes.
  • Suite à une seule panne, il tente une reconnexion après 150 secondes avant de revenir au rythme normal.

Cette logique adaptative permet à ModeloRAT de se fondre dans le trafic réseau tout en prenant en charge une interaction rapide avec l'opérateur lorsque cela est nécessaire.

Une stratégie d’infection à deux volets

Bien que le déploiement de ModeloRAT sur des systèmes appartenant à un domaine indique clairement une orientation vers les environnements d'entreprise et une infiltration plus profonde du réseau, les machines autonomes ont été soumises à une séquence d'infection différente, en plusieurs étapes. Dans ces cas, le serveur de commande et de contrôle a finalement répondu par le message « TEST PAYLOAD ! », suggérant que ce vecteur d'infection parallèle est peut-être encore en développement.

Vue d’ensemble : L’ingénierie sociale par conception

La campagne CrashFix de KongTuke illustre comment les cybercriminels modernes perfectionnent l'ingénierie sociale pour en faire un système de contrôle parfaitement orchestré. En se faisant passer pour un projet open source de confiance, en déstabilisant intentionnellement le navigateur, puis en proposant un correctif contrefait, les attaquants ont transformé la frustration des utilisateurs en obéissance.

Cette opération démontre comment les extensions de navigateur, les places de marché de confiance et les outils permettant de vivre en autarcie peuvent être fusionnés en une chaîne d'infection résiliente, qui persiste non seulement par la furtivité, mais aussi en manipulant de manière répétée la victime pour qu'elle déclenche elle-même l'attaque.

Tendance

Alerte contextuelle "Mettre à jour la dernière...

Faux messages d'erreur
"Mettre à jour la dernière version de Java" est une alerte contextuelle délicate, qui peut être utilisée pour permettre aux utilisateurs d'ordinateurs de télécharger et d'installer diverses applications non sécurisées. La «mise à jour de la dernière version de Java» Pop-Up Alert et ses boutons «Télécharger», «Exécuter la mise à jour» ou «Cliquez pour installer maintenant» peuvent...

Arnaque par courriel intercepté lors d'un transfert...

Hameçonnage, Courrier indésirable
Il est essentiel de rester vigilant face aux courriels non sollicités ou inattendus. Les cybercriminels exploitent souvent la surprise, l'urgence et la curiosité pour inciter les destinataires à prendre des décisions hâtives. Les messages promettant des sommes d'argent importantes ou prétendant impliquer des « transferts interceptés » sont particulièrement dangereux et doivent toujours être...

Le plus regardé

Chargement...