Security

CrashFix: malware que bloquea el navegador con RAT

3 min de lectura

Resumen

CrashFix es una nueva variante de malware que sabotea primero el navegador con un bucle de fallos y después muestra un falso proceso de “reparación” para inducir al usuario a ejecutar comandos maliciosos por su cuenta. Importa porque combina ingeniería social, extensiones fraudulentas y técnicas Living-off-the-Land para evadir defensas tradicionales basadas en firmas, elevando el riesgo para usuarios y equipos de TI.

¿Necesita ayuda con Security?Hablar con un experto

Introducción

Históricamente, ClickFix se ha basado en ingeniería social para lograr que los usuarios ejecuten comandos proporcionados por el atacante. La nueva variante CrashFix incrementa la tasa de éxito al interrumpir primero la experiencia del usuario (DoS del navegador/bucle de fallos) y luego presentar un flujo de trabajo de “solución” que lleva a las víctimas a ejecutar los comandos por sí mismas, reduciendo la dependencia de exploits y aumentando la evasión. Para los equipos de TI, esto es un recordatorio práctico de que la ejecución impulsada por el usuario + LOLBins + cargas útiles de scripts pueden eludir defensas tradicionales basadas solo en firmas.

Qué hay de nuevo en CrashFix (comportamientos clave)

1) Extensión maliciosa con sabotaje diferido

  • El acceso inicial suele comenzar cuando un usuario busca un bloqueador de anuncios y hace clic en un anuncio malicioso.
  • El usuario es redirigido a la Chrome Web Store para instalar una extensión que suplanta a uBlock Origin Lite, creando una falsa legitimidad.
  • La extensión utiliza ejecución diferida para que los problemas del navegador aparezcan más tarde, lo que dificulta que los usuarios asocien los síntomas con la instalación de la extensión.

2) Bucle de fallos del navegador + aviso falso de “CrashFix”

  • La carga útil provoca una denegación de servicio del navegador mediante un bucle infinito y luego muestra una advertencia/popup de seguridad falsa.
  • El popup intenta convencer al usuario de ejecutar comandos (por ejemplo, mediante Windows Run), convirtiendo al usuario en el mecanismo de ejecución.

3) Abuso de LOLBin: finger.exe renombrado y usado como cargador

  • Un cambio notable es el abuso de la utilidad legítima de Windows finger.exe, copiada a una ubicación temporal y renombrada (por ejemplo, ct.exe) para dificultar la detección.
  • El binario renombrado se conecta hacia fuera para recuperar una cadena de PowerShell ofuscada y por etapas que deposita cargas útiles adicionales en ubicaciones del perfil del usuario.

4) Lógica de targeting: los sistemas unidos al dominio reciben la puerta trasera

  • El script de PowerShell realiza comprobaciones del entorno (por ejemplo, si el dispositivo está domain-joined) y busca herramientas de análisis.
  • Cuando detecta condiciones empresariales de mayor valor, descarga una distribución portable de WinPython y un Python RAT (Microsoft se refiere a él como ModeloRAT).

5) Persistencia y cargas útiles posteriores

  • La persistencia se establece mediante HKCU\Software\Microsoft\Windows\CurrentVersion\Run usando pythonw.exe para minimizar artefactos visibles.
  • La entrega de cargas útiles adicionales incluye descargas desde hosting en la nube (por ejemplo, Dropbox) y, en cadenas posteriores, persistencia mediante tareas programadas (por ejemplo, una tarea llamada “SoftwareProtection”) para ejecutar cargas útiles de Python de forma repetida.

Impacto en administradores de TI y usuarios finales

  • Los usuarios finales pueden reportar fallos repentinos del navegador, “pop-ups” de “seguridad” repetidos o instrucciones que les indiquen ejecutar comandos para corregir el problema.
  • Los administradores deberían esperar una combinación de comportamientos en web, endpoint e identidad: instalaciones sospechosas de extensiones, patrones de ejecución de LOLBins, ofuscación de PowerShell, intérpretes de Python desplegados en el espacio del usuario, nuevas claves Run y tareas programadas sospechosas.
  • El despliegue selectivo en sistemas domain-joined indica la intención de priorizar el acceso a entornos empresariales.

Acciones / próximos pasos

  • Asegúrese de que Microsoft Defender Antivirus cloud-delivered protection esté habilitado (o su equivalente) para detectar variantes que evolucionan rápidamente.
  • Habilite Microsoft Defender for Endpoint EDR in block mode para bloquear artefactos posteriores a una intrusión incluso cuando otro AV sea el principal.
  • Revise y refuerce los controles para extensiones del navegador (allowlists, restricciones de instalación de extensiones y monitorización de nuevas instalaciones).
  • Realice hunting de patrones sospechosos:
    • finger.exe copiado/renombrado (por ejemplo, ct.exe) y conexiones salientes inesperadas
    • PowerShell ofuscado que inicia actividad de descarga
    • Nuevas entradas HKCU Run que invoquen pythonw.exe
    • Tareas programadas con nombres aparentemente benignos (por ejemplo, “SoftwareProtection”) que ejecuten scripts cada pocos minutos
  • Refuerce la guía a usuarios: nunca ejecute comandos de “arreglo” desde pop-ups; reporte de inmediato los bucles de fallos del navegador y las solicitudes inesperadas de extensiones.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Defender Security Research Team
Microsoft Defender for EndpointClickFixsocial engineeringPowerShellPython RAT

Artículos relacionados

Security

Compromiso de la cadena de suministro de Trivy

Microsoft ha publicado orientación de detección, investigación y mitigación sobre el compromiso de la cadena de suministro de Trivy de marzo de 2026, que afectó al binario de Trivy y a GitHub Actions relacionados. El incidente es importante porque convirtió una herramienta de seguridad de CI/CD de confianza en un arma para robar credenciales de pipelines de compilación, entornos en la nube y sistemas de desarrolladores mientras aparentaba ejecutarse con normalidad.

Security

Gobernanza de agentes de AI para alinear la intención

Microsoft describe un modelo de gobernanza para agentes de AI que alinea la intención del usuario, del desarrollador, basada en roles y organizacional. El marco ayuda a las empresas a mantener los agentes útiles, seguros y en cumplimiento al definir límites de comportamiento y un orden claro de prioridad cuando surgen conflictos.

Security

Microsoft Defender predictive shielding frena ransomware GPO

Microsoft detalló un caso real de ransomware en el que predictive shielding de Defender detectó el abuso malicioso de Group Policy Object antes de que comenzara el cifrado. Al reforzar la propagación de GPO e interrumpir cuentas comprometidas, Defender bloqueó alrededor del 97 % de la actividad de cifrado intentada y evitó que cualquier dispositivo fuera cifrado mediante la ruta de entrega por GPO.

Security

Seguridad para Agentic AI de Microsoft en RSAC 2026

En RSAC 2026, Microsoft presentó una estrategia integral para asegurar la adopción empresarial de Agentic AI, con el anuncio de la disponibilidad general de Agent 365 el 1 de mayo como plano de control para gobernar, proteger y supervisar agentes de AI a escala. La noticia importa porque refuerza la visibilidad y gestión del riesgo de AI en toda la empresa mediante herramientas como Security Dashboard for AI y Shadow AI Detection, ayudando a reducir la sobreexposición de datos, controlar accesos y responder a nuevas amenazas.

Security

Microsoft lanza CTI-REALM open source para detección AI

Microsoft ha presentado CTI-REALM, un benchmark open source que evalúa si los agentes de IA pueden crear y validar detecciones de seguridad de extremo a extremo a partir de informes reales de inteligencia de amenazas, en lugar de limitarse a responder preguntas teóricas. Esto importa porque ofrece a los equipos SOC una forma más práctica de medir el valor operativo de la IA en ingeniería de detección, incluyendo pasos clave como mapeo MITRE ATT&CK, consultas KQL y reglas Sigma en entornos Linux, AKS y Azure.

Security

Zero Trust for AI de Microsoft: taller y arquitectura

Microsoft presentó Zero Trust for AI (ZT4AI), una guía y arquitectura que adapta los principios de Zero Trust a entornos de IA para proteger modelos, agentes, datos y decisiones automatizadas frente a riesgos como prompt injection y data poisoning. Además, actualizó su Zero Trust Workshop con un nuevo pilar de IA y cientos de controles, lo que importa porque da a los equipos de seguridad y TI un marco práctico para evaluar riesgos, coordinar áreas de negocio y desplegar controles de seguridad de IA de forma más estructurada.