Новая волна атак CrashFix: функциональные расширения браузера с удалённым управлением превращаются в «бомбы» для установки вредоносного ПО

Изначальная атака заключалась в том, что расширение NexShield, маскировавшееся под блокировщик рекламы, намеренно вызывало крах браузера Google Chrome, перегружая его миллиардом соединений через runtime-порты. После перезагрузки пользователю показывалась поддельная страница «Исправление сбоя» (CrashFix), которая под видом восстановления работоспособности заставляла выполнять PowerShell-команды, ведущие к загрузке вредоносного ПО. Угроза, отслеживаемая под именем KongTuke, показала эффективность сочетания технической поломки и психологического манипулирования.

Обнаруженные новые варианты, Pixel Shield и PageGuard, следуют той же логике, но с ключевыми усовершенствованиями. Важно отметить, что оба расширения были полностью функциональны в заявленной области. Pixel Shield являлся практически полным клоном легитимного блокировщика uBlock Origin Lite, включая оставленную лицензию GPL. PageGuard реализовывал защиту от фишинга, используя bloom-фильтр и блок-листы. Именно эта работоспособность стала основой их успешного прохождения автоматической проверки Chrome Web Store и получения положительных отзывов пользователей - Pixel Shield успел набрать 561 установку и 29 оценок со средним баллом 4.7.

Однако под этой легитимной оболочкой скрывался механизм саботажа, который исследователи назвали «Promise Bomb» (бомба из промисов). В отличие от первоначальной атаки, перегружавшей порты, новый метод целенаправленно атакует систему передачи сообщений Chrome. Код в фоновых скриптах расширений создаёт десятки миллионов промисов (асинхронных операций), которые никогда не разрешаются. Например, Pixel Shield генерировал 10 миллионов таких промисов, а PageGuard - 100 миллионов. Вызов функции "Promise.all()" для такого массива «зависших» операций приводит к катастрофическому потреблению ресурсов и полному зависанию браузера, что для пользователя выглядит как внезапный крах.

Наиболее значимым эволюционным шагом стало внедрение механизма удалённого управления срабатыванием этой «бомбы». Если NexShield использовал таймер, то новые варианты получают команду на атаку через push-уведомления от управляющего сервера (C2, Command and Control). Расширения подписываются на уведомления с контролируемых злоумышленником доменов. Деструктивный код активируется только при получении специфической команды - push-уведомления, содержащего значение «newVersion», оканчивающееся на цифру «2». Это предоставляет атакующему беспрецедентный уровень контроля. Он может выборочно атаковать конкретные устройства, например, в целевой организации, провести тестовую атаку на небольшом проценте жертв или вообще оставаться в спящем режиме в периоды анализа угроз, что значительно затрудняет обнаружение.

После того как браузер жертвы аварийно завершает работу и перезапускается, срабатывает следующий этап. Расширение проверяет внутренний флаг и открывает всплывающее окно (pop-up), ведущее на сервер атакующего. Как и в первоначальной схеме, пользователь видит страницу, имитирующую официальное средство исправления сбоя. Ему предлагается скопировать и выполнить в PowerShell команду, которая под видом восстановления загружает и запускает вредоносную полезную нагрузку. Интересно, что для этого часто используется легитимный системный инструмент finger.exe, относящийся к категории LOLBins (Living-Off-the-Land Binaries), что помогает обойти защитные механизмы.

Анализ цифровых следов указывает на одного и того же актора: использование бесплатных почтовых ящиков для регистрации учётных записей разработчика, копирование открытого легитимного кода для основной функциональности, схожие техники отказа в обслуживании (DoS), структура C2-инфраструктуры и идентичный шаблон post-crash попапа. Оба расширения были удалены из Chrome Web Store 17 февраля 2026 года, однако сам факт их появления и временного успеха вызывает серьёзную озабоченность.

Главный вывод для специалистов по безопасности и обычных пользователей заключается в том, что кампания CrashFix активно развивается. Злоумышленники диверсифицируют маскировку, выходя за рамки блокировщиков рекламы, совершенствуют каналы управления, переходя от таймеров к push-уведомлениям, и экспериментируют с техниками вывода браузера из строя. Наиболее тревожным аспектом остаётся способность таких угроз проходить процедуру ревью в официальных магазинах приложений. Небольшой вредоносный код, впрыснутый в тысячи строк настоящего рабочего кода, по-прежнему может ускользать от автоматического анализа. Данный случай наглядно демонстрирует, что даже высокий рейтинг и положительные отзывы пользователей не могут служить гарантией безопасности.

В качестве практических рекомендаций, компаниям и рядовым пользователям следует проявлять повышенную бдительность при установке расширений, особенно новых или от неизвестных разработчиков. Стоит отдавать предпочтение расширениям с долгой историей, большим количеством установок и от известных вендоров. Администраторам корпоративных сетей необходимо рассмотреть возможность централизованного управления разрешёнными расширениями в браузерах, а также обучать сотрудников распознаванию социальной инженерии, даже если она следует за техническим сбоем. Сигнатура подобных атак, сочетающая сложный технический вектор и психологическое давление, будет, вероятно, встречаться всё чаще, требуя комплексного подхода к защите.

Domains

• page-guard.com
• pixel-defence.com

Emails

• lindsayherrera21@gmail.com
• vickymartin198@gmail.com

Extension ID

• mlaonedihngoginmmlaacpihnojcoocl
• nlogodaofdghipmbdclajkkpheneldjd