Security

CrashFix malware: browser-crash lokkemidler og RAT

3 min læsning

Resumé

CrashFix er en ny malwarevariant, der kombinerer en ondsindet browserudvidelse med bevidst browser-nedbrud for at lokke brugere til selv at køre skadelige kommandoer via en falsk “fix”-prompt. Det er vigtigt, fordi angrebet udnytter social engineering, LOLBins og brugerinitieret eksekvering til at omgå traditionelle signaturbaserede sikkerhedsforanstaltninger og dermed øger risikoen for skjult kompromittering.

Brug for hjælp med Security?Tal med en ekspert

Introduktion

ClickFix har historisk baseret sig på social engineering for at få brugere til at udføre angriberleverede kommandoer. Den nye CrashFix-variant øger succesraten ved først at forringe brugeroplevelsen (browser DoS/crash loop) og derefter præsentere en “fix”-workflow, der får ofre til selv at køre kommandoer—hvilket mindsker afhængigheden af exploits og øger stealth. For IT-teams er det en praktisk påmindelse om, at brugerinitieret eksekvering + LOLBins + script-payloads kan omgå traditionelle, rent signaturbaserede forsvar.

Hvad er nyt i CrashFix (nøgleadfærd)

1) Ondsindet extension med forsinket sabotage

  • Initial adgang starter ofte med, at en bruger søger efter en ad blocker og klikker på en ondsindet annonce.
  • Brugeren bliver omdirigeret til Chrome Web Store for at installere en extension, der udgiver sig for at være uBlock Origin Lite, hvilket skaber falsk legitimitet.
  • Extensionen bruger forsinket eksekvering, så browserproblemer opstår senere, hvilket gør det sværere for brugere at forbinde symptomerne med installationen af extensionen.

2) Browser crash loop + falsk “CrashFix”-prompt

  • Payloaden udløser en browser denial-of-service via en uendelig løkke og viser derefter en falsk sikkerhedsadvarsel/pop-up.
  • Pop-up’en forsøger at overbevise brugeren om at udføre kommandoer (for eksempel via Windows Kør), hvilket gør brugeren til selve eksekveringsmekanismen.

3) Misbrug af LOLBin: finger.exe omdøbes og bruges som loader

  • En markant ændring er misbrug af det legitime Windows-værktøj finger.exe, som kopieres til en temp-lokation og omdøbes (f.eks. ct.exe) for at sløre detektion.
  • Den omdøbte binær forbinder udgående for at hente en obfuskeret, trinvist PowerShell-kæde, der dropper yderligere payloads i brugerprofil-lokationer.

4) Mållogik: domain-joined systemer får backdoor

  • PowerShell-scriptet udfører miljøtjek (f.eks. om enheden er domain-joined) og leder efter analyseværktøjer.
  • Når der registreres enterprise-betingelser med højere værdi, downloader det en portabel WinPython-distribution og en Python RAT (Microsoft omtaler den som ModeloRAT).

5) Persistens og efterfølgende payloads

  • Persistens etableres via HKCU\Software\Microsoft\Windows\CurrentVersion\Run ved brug af pythonw.exe for at minimere synlige artefakter.
  • Yderligere payload-levering omfatter downloads fra cloud-hosting (f.eks. Dropbox) og, i senere kæder, persistens via scheduled task (f.eks. en opgave med navnet “SoftwareProtection”) for gentagne gange at køre Python-payloads.

Effekt for IT-administratorer og slutbrugere

  • Slutbrugere kan rapportere pludselige browser-crash, gentagne “sikkerheds”-pop-ups eller instruktioner om at køre kommandoer for at løse problemet.
  • Administratorer bør forvente en kombination af adfærd på tværs af web, endpoint og identitet: mistænkelige extension-installationer, LOLBin-eksekveringsmønstre, PowerShell-obfuskering, Python-interpretere droppet i user space, nye Run keys og mistænkelige scheduled tasks.
  • Kampagnens selektive udrulning på domain-joined systemer indikerer en hensigt om at prioritere enterprise-adgang.

Action items / næste skridt

  • Sørg for, at Microsoft Defender Antivirus cloud-delivered protection er aktiveret (eller tilsvarende) for at fange hurtigt udviklende varianter.
  • Aktivér Microsoft Defender for Endpoint EDR in block mode for at blokere post-breach artefakter, selv når en anden AV er primær.
  • Gennemgå og stram kontroller for browser extensions (allowlists, begrænsninger for extension-installation og monitorering af nye installationer).
  • Hunt efter mistænkelige mønstre:
    • finger.exe kopieret/omdøbt (f.eks. ct.exe) og uventede udgående forbindelser
    • Obfuskeret PowerShell, der starter download-aktivitet
    • Nye HKCU Run-entries, der kalder pythonw.exe
    • Scheduled tasks med uskyldigt lydende navne (f.eks. “SoftwareProtection”), der eksekverer scripts hvert par minutter
  • Styrk brugervejledning: kør aldrig “fix”-kommandoer fra pop-ups; rapportér browser crash loops og uventede extension-prompts med det samme.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Microsoft Defender Security Research Team
Microsoft Defender for EndpointClickFixsocial engineeringPowerShellPython RAT

Relaterede indlæg

Security

Trivy supply chain compromise: Defender-guide

Microsoft har udgivet vejledning til detektion, undersøgelse og afhjælpning af Trivy supply chain compromise i marts 2026, som påvirkede Trivy-binæren og relaterede GitHub Actions. Hændelsen er vigtig, fordi den gjorde betroet CI/CD-sikkerhedsværktøj til et våben for at stjæle legitimationsoplysninger fra build-pipelines, cloud-miljøer og udviklersystemer, mens det så ud til at køre normalt.

Security

AI-agentstyring: Afstemning af intention for sikkerhed

Microsoft skitserer en styringsmodel for AI-agenter, der afstemmer bruger-, udvikler-, rollebaseret og organisatorisk intention. Rammeværket hjælper virksomheder med at holde agenter nyttige, sikre og compliant ved at definere adfærdsgrænser og en klar rækkefølge, når konflikter opstår.

Security

Microsoft Defender predictive shielding stopper GPO-ransomware

Microsoft beskrev en reel ransomware-sag, hvor Defenders predictive shielding opdagede ondsindet misbrug af Group Policy Object (GPO), før krypteringen begyndte. Ved at hærdne GPO-udrulning og afbryde kompromitterede konti blokerede Defender cirka 97 % af de forsøgte krypteringsaktiviteter og forhindrede, at nogen enheder blev krypteret via GPO-leveringsvejen.

Security

Microsoft sikkerhed til agentic AI på RSAC 2026

Microsoft præsenterede på RSAC 2026 en samlet sikkerhedsstrategi for agentic AI og annoncerede, at Agent 365 bliver generelt tilgængelig 1. maj som et kontrolplan til at overvåge, beskytte og styre AI-agenter i stor skala. Samtidig udvider virksomheden synligheden i AI-risici med nye og kommende værktøjer som Security Dashboard for AI, Shadow AI Detection i Entra og forbedret Intune-appinventar, hvilket er vigtigt for virksomheder, der vil bruge AI sikkert uden at miste kontrol over data, identiteter og skygge-IT.

Security

Microsoft CTI-REALM benchmark til AI detection engineering

Microsoft har lanceret CTI-REALM, en open-source benchmark, der måler om AI-agenter faktisk kan udføre detection engineering fra ende til anden ud fra threat intelligence-rapporter frem for blot at svare på sikkerhedsspørgsmål. Det er vigtigt for SOC- og sikkerhedsteams, fordi benchmarken tester realistiske workflows, værktøjer og mellemtrin på tværs af Linux, AKS og Azure, hvilket kan give et mere retvisende billede af, hvor moden AI er til operationelt sikkerhedsarbejde.

Security

Zero Trust for AI: Microsofts nye sikkerhedsmodel

Microsoft har lanceret Zero Trust for AI, som overfører de velkendte principper om eksplicit verifikation, mindst mulige privilegier og antagelse om brud til AI-miljøer med modeller, agenter og datakilder. Samtidig udvider virksomheden sin Zero Trust Workshop med en ny AI-søjle og opdaterede vurderingsværktøjer, så organisationer mere systematisk kan identificere og håndtere AI-specifikke trusler som prompt injection og data poisoning. Det er vigtigt, fordi virksomheder får en konkret ramme til at gøre AI-udrulning mere sikker og moden på tværs af IT, sikkerhed og forretning.