Security

CrashFix malware: pády prohlížeče a Python RAT

3 min čtení

Shrnutí

Kampaň CrashFix rozšiřuje známý model ClickFix o záměrné pády prohlížeče a falešný „opravný“ postup, který přiměje uživatele spustit škodlivé příkazy vlastní rukou. Útok začíná podvrženým rozšířením v Chrome Web Store a pokračuje zneužitím legitimních nástrojů a skriptových payloadů, což zvyšuje úspěšnost a ztěžuje detekci. Pro firmy je to důležité varování, že samotná signaturní ochrana nestačí a je nutné hlídat i uživatelsky iniciované spuštění, LOLBins a chování prohlížečových rozšíření.

Potřebujete pomoc s Security?Mluvte s odborníkem

Úvod

ClickFix historicky spoléhal na sociální inženýrství, aby uživatele přiměl spouštět příkazy poskytnuté útočníkem. Nová varianta CrashFix zvyšuje úspěšnost tím, že nejprve naruší uživatelský zážitek (DoS prohlížeče / smyčka pádů) a poté nabídne pracovní postup „opravy“, který vede oběti k tomu, aby příkazy spustila sama — snižuje tak závislost na exploitech a zároveň zvyšuje nenápadnost. Pro IT týmy je to praktická připomínka, že spuštění iniciované uživatelem + LOLBins + skriptové payloady mohou obejít tradiční obrany založené pouze na signaturách.

Co je v CrashFix nového (klíčová chování)

1) Škodlivé rozšíření se zpožděnou sabotážÍ

  • Prvotní přístup často začíná tím, že uživatel hledá ad blocker a klikne na škodlivou reklamu.
  • Uživatel je přesměrován do Chrome Web Store, aby nainstaloval rozšíření vydávající se za uBlock Origin Lite, čímž vzniká falešný dojem legitimity.
  • Rozšíření používá zpožděné spuštění, takže problémy s prohlížečem se projeví až později, a uživatelům se tak hůře spojuje příčina (instalace rozšíření) se symptomy.

2) Smyčka pádů prohlížeče + falešná výzva „CrashFix“

  • Payload spustí DoS prohlížeče pomocí nekonečné smyčky a následně zobrazí falešné bezpečnostní varování / pop-up.
  • Pop-up se snaží uživatele přesvědčit, aby spustil příkazy (například přes Windows Run), čímž se uživatel stává mechanismem spuštění.

3) Zneužití LOLBin: finger.exe přejmenovaný a použitý jako loader

  • Výraznou změnou je zneužití legitimního nástroje Windows finger.exe, který je zkopírován do dočasného umístění a přejmenován (např. ct.exe) pro ztížení detekce.
  • Přejmenovaný binární soubor se odchozím spojením připojí a stáhne obfuskovaný, postupně řetězený PowerShell, který ukládá další payloady do umístění v uživatelském profilu.

4) Logika cílení: systémy připojené k doméně dostanou backdoor

  • PowerShell skript provádí kontroly prostředí (např. zda je zařízení domain-joined) a hledá analytické nástroje.
  • Pokud jsou detekovány hodnotnější podmínky typické pro enterprise, stáhne přenosnou distribuci WinPython a Python RAT (Microsoft jej označuje jako ModeloRAT).

5) Persistence a navazující payloady

  • Persistence je nastavena přes HKCU\Software\Microsoft\Windows\CurrentVersion\Run s využitím pythonw.exe pro minimalizaci viditelných stop.
  • Další doručování payloadů zahrnuje stahování z cloudového hostingu (např. Dropbox) a v pozdějších řetězcích persistenci přes plánovanou úlohu (např. úloha s názvem „SoftwareProtection“), která opakovaně spouští Pythonové payloady.

Dopad na IT administrátory a koncové uživatele

  • Koncoví uživatelé mohou hlásit náhlé pády prohlížeče, opakované „bezpečnostní“ pop-upy nebo pokyny ke spuštění příkazů pro opravu problému.
  • Administrátoři by měli očekávat kombinaci chování napříč webem, endpointem a identitou: podezřelé instalace rozšíření, vzorce spouštění LOLBin, obfuskaci PowerShellu, Python interpretery uložené v uživatelském prostoru, nové Run klíče a podezřelé plánované úlohy.
  • Selektivní nasazení na systémy domain-joined naznačuje záměr upřednostnit enterprise přístup.

Doporučené kroky / další postup

  • Ověřte, že je zapnutá Microsoft Defender Antivirus cloud-delivered protection (nebo ekvivalent), aby zachytávala rychle se vyvíjející varianty.
  • Povolte Microsoft Defender for Endpoint EDR in block mode, aby blokoval artefakty po průniku i v případě, že primární AV je jiný.
  • Zkontrolujte a zpřísněte kontrolu rozšíření prohlížečů (allowlisty, omezení instalace rozšíření a monitoring nových instalací).
  • Proveďte hunting na podezřelé vzorce:
    • finger.exe zkopírovaný/přejmenovaný (např. ct.exe) a neočekávaná odchozí spojení
    • Obfuskovaný PowerShell spouštějící aktivitu stahování
    • Nové položky HKCU Run vyvolávající pythonw.exe
    • Plánované úlohy s neškodně vypadajícími názvy (např. „SoftwareProtection“) spouštějící skripty každých pár minut
  • Posilte pokyny pro uživatele: nikdy nespouštějte „opravné“ příkazy z pop-upů; okamžitě hlaste smyčky pádů prohlížeče a nečekané výzvy k instalaci rozšíření.

Potřebujete pomoc s Security?

Naši odborníci vám pomohou implementovat a optimalizovat vaše Microsoft řešení.

Mluvte s odborníkem

Buďte v obraze o technologiích Microsoft

Přečtěte si původní článek od Microsoft Defender Security Research Team
Microsoft Defender for EndpointClickFixsocial engineeringPowerShellPython RAT

Související články

Security

Trivy Supply Chain Compromise: Defender Guidance

Microsoft has published detection, investigation, and mitigation guidance for the March 2026 Trivy supply chain compromise that affected the Trivy binary and related GitHub Actions. The incident matters because it weaponized trusted CI/CD security tooling to steal credentials from build pipelines, cloud environments, and developer systems while appearing to run normally.

Security

AI Agent Governance: Aligning Intent for Security

Microsoft outlines a governance model for AI agents that aligns user, developer, role-based, and organizational intent. The framework helps enterprises keep agents useful, secure, and compliant by defining behavioral boundaries and a clear order of precedence when conflicts arise.

Security

Microsoft Defender Predictive Shielding Stops GPO Ransomware

Microsoft detailed a real-world ransomware case in which Defender’s predictive shielding detected malicious Group Policy Object abuse before encryption began. By hardening GPO propagation and disrupting compromised accounts, Defender blocked about 97% of attempted encryption activity and prevented any devices from being encrypted through the GPO delivery path.

Security

Microsoft Agentic AI Security Tools Unveiled at RSAC

At RSAC 2026, Microsoft introduced a broader security strategy for enterprise AI, led by Agent 365, a new control plane for governing and protecting AI agents that will reach general availability on May 1. The company also announced expanded AI risk visibility and identity protections across Defender, Entra, Purview, Intune, and new shadow AI detection tools, signaling that securing AI usage is becoming a core part of enterprise security operations as adoption accelerates.

Security

Microsoft CTI-REALM Benchmarks AI Detection Engineering

Microsoft has introduced CTI-REALM, an open-source benchmark designed to test whether AI agents can actually perform detection engineering tasks end to end, from interpreting threat intelligence reports to generating and refining KQL and Sigma detection rules. This matters because it gives security teams a more realistic way to evaluate AI for SOC operations, focusing on measurable operational outcomes across real environments instead of simple cybersecurity question answering.

Security

Microsoft Zero Trust for AI: Workshop and Architecture

Microsoft has introduced Zero Trust for AI guidance, adding an AI-focused pillar to its Zero Trust Workshop and expanding its assessment tool with new Data and Network pillars. The update matters because it gives enterprises a structured way to secure AI systems against risks like prompt injection, data poisoning, and excessive access while aligning security, IT, and business teams around nearly 700 controls.