¿Tu Chrome se “murió” de repente y pide ayuda? Por qué no deberías “llamar a la ambulancia” desde la línea de comandos

Los atacantes del grupo de hackers KongTuke comenzaron a utilizar una nueva cadena maliciosa llamada CrashFix, dirigida a usuarios de Google Chrome. Según Huntress, el ataque comienza con la descarga de una extensión falsa llamada NexShield, camuflada como el popular bloqueador de anuncios uBlock Origin Lite. La extensión se publicó en la tienda oficial Chrome Web Store, lo que le dio apariencia de legitimidad.

La víctima se encuentra con CrashFix cuando el navegador se congela y se reinicia de forma repentina. Tras ello aparece una ventana emergente con un mensaje sobre un fallo en Chrome y una sugerencia para corregir los problemas mediante una «comprobación de seguridad». Se le pide al usuario abrir la ventana Ejecutar de Windows e insertar allí un comando previamente copiado. En realidad, ese comando ejecuta un script PowerShell malicioso obtenido del servidor de los atacantes. Se utiliza la utilidad finger.exe, trasladada al directorio %temp% y renombrada a ct.exe para evitar su detección.

El objetivo del ataque son, en primer lugar, los sistemas corporativos conectados a un dominio. En esos casos la víctima recibe en el equipo un troyano especialmente desarrollado llamado ModeloRAT. Este malware está escrito en Python y se distribuye en un archivo comprimido junto con una compilación propia de WinPython, lo que permite evitar la dependencia de la versión de Python instalada en la máquina.

ModeloRAT se distingue por un sistema avanzado de cifrado de datos mediante RC4, la capacidad de permanecer en el registro, la recopilación de información del sistema y la ejecución de diversos comandos. También oculta su actividad imitando nombres legítimos, por ejemplo «Spotify47» o «Adobe2841» para las claves de inicio automático en el registro.

Los usuarios domésticos reciben otra cadena de infección, basada en una ofuscación multinivel de PowerShell y en el uso de DGA —el algoritmo de generación de dominios— que actualiza las direcciones cada semana. El script final comprueba los parámetros del sistema, forma una huella numérica única y la envía al servidor. Dependiendo del valor recibido, el servidor decide si entregar la carga útil. Una baja «puntuación de evaluación» del sistema indica que se trata de un entorno de investigación y, en ese caso, el malware no se activa.

En NexShield está integrado un mecanismo de activación retardada que habilita las funciones maliciosas solo una hora después de la instalación, para desvincular las sospechas del usuario de la extensión. La propia extensión sobrecarga el navegador, creando miles de millones de conexiones a través de la API de Chrome, lo que provoca bloqueos y fallos. Los ciclos repetidos de reinicios y falsas advertencias continúan hasta que el usuario elimina la extensión o realiza las acciones propuestas que desencadenan la infección.

La extensión también transmite datos del usuario —UUID, versión y otros parámetros— al servidor nexsnield.com. Se registran por separado las instalaciones, las actualizaciones e incluso la eliminación de la extensión. Además se emplean técnicas anti‑análisis que impiden abrir las herramientas de desarrollador y el acceso al código fuente de las páginas.

El desarrollo de la funcionalidad maliciosa indica la intención del grupo KongTuke de reforzar su presencia en entornos corporativos, obteniendo acceso a Active Directory y a las redes internas. La arquitectura utilizada, basada en herramientas LOLBin, en una ofuscación multinivel y en un filtrado inteligente de víctimas, subraya la creciente complejidad de los ataques y los mayores esfuerzos por ocultar su presencia en el sistema.

Los especialistas de Huntress, que descubrieron la campaña, subrayan la importancia de monitorizar el tráfico de red, rastrear las extensiones sospechosas y la actividad de procesos PowerShell en segundo plano.