Security

CrashFix-hyökkäys: ClickFix, selainkaatumiset ja RAT

3 min lukuaika

Yhteenveto

CrashFix on uusi ClickFix-variantti, jossa haitallinen selainlaajennus aiheuttaa viiveellä selaimen kaatumissilmukan ja näyttää sen jälkeen väärennetyn korjauskehotteen, jolla uhri houkutellaan ajamaan komentoja itse. Tämä on merkittävää, koska hyökkäys yhdistää sosiaalisen manipuloinnin, LOLBins-työkalut ja skriptipayloadit tavalla, joka voi kiertää perinteisiä allekirjoituspohjaisia suojauksia ja johtaa etähallintahaittaohjelman asentumiseen.

Tarvitsetko apua Security-asioissa?Keskustele asiantuntijan kanssa

Johdanto

ClickFix on perinteisesti tukeutunut sosiaaliseen manipulointiin saadakseen käyttäjät suorittamaan hyökkääjän tarjoamia komentoja. Uusi CrashFix-variantti kasvattaa onnistumisastetta aiheuttamalla ensin käyttökokemusta häiritsevän tilanteen (selaimen DoS/kaatumissilmukka) ja esittämällä sen jälkeen “korjaus”-työnkulun, joka johtaa uhrit suorittamaan komentoja itse—vähentäen riippuvuutta exploiteista ja lisäten samalla häiveellisyyttä. IT-tiimeille tämä on käytännöllinen muistutus siitä, että käyttäjän käynnistämä suoritus + LOLBins + skriptipayloadit voivat ohittaa perinteiset, pelkkiin allekirjoituksiin nojaavat suojaukset.

Mitä uutta CrashFixissä (keskeiset toimintamallit)

1) Haitallinen laajennus viivästetyllä sabotoinnilla

  • Alkuvaiheen pääsy käynnistyy usein siitä, että käyttäjä etsii mainostenestoa ja klikkaa haitallista mainosta.
  • Käyttäjä ohjataan Chrome Web Storeen asentamaan laajennus, joka esiintyy uBlock Origin Lite -laajennuksena ja luo väärän legitimiteetin.
  • Laajennus käyttää viivästettyä suoritusta, jolloin selainongelmat ilmenevät myöhemmin ja käyttäjän on vaikeampi yhdistää oireita laajennuksen asennukseen.

2) Selaimen kaatumissilmukka + väärennetty “CrashFix”-kehote

  • Payload laukaisee selaimen palvelunestotilanteen äärettömän silmukan avulla ja näyttää sen jälkeen väärennetyn tietoturvavaroituksen/pop-upin.
  • Pop-up pyrkii vakuuttamaan käyttäjän suorittamaan komentoja (esimerkiksi Windows Run -toiminnon kautta), jolloin käyttäjästä tulee itse suorituksen mekanismi.

3) LOLBin-väärinkäyttö: finger.exe nimetään uudelleen ja sitä käytetään lataajana

  • Huomattava muutos on laillisen Windows-apuohjelman finger.exe väärinkäyttö: se kopioidaan temp-sijaintiin ja nimetään uudelleen (esim. ct.exe) havaitsemisen vaikeuttamiseksi.
  • Uudelleennimetty binääri muodostaa ulospäin suuntautuvan yhteyden ja noutaa obfuskoidun, vaiheistetun PowerShell-ketjun, joka pudottaa lisäpayloadeja käyttäjäprofiilin sijainteihin.

4) Kohdennuslogiikka: domain-joined -järjestelmät saavat takaoven

  • PowerShell-skripti tekee ympäristötarkistuksia (esim. onko laite domain-joined) ja etsii analyysityökaluja.
  • Kun arvokkaammiksi tulkitut yritysympäristön ehdot havaitaan, se lataa portable WinPython distribution -paketin ja Python RAT:n (Microsoft viittaa siihen nimellä ModeloRAT).

5) Pysyvyys ja jatkopayloadit

  • Pysyvyys toteutetaan avaimen HKCU\Software\Microsoft\Windows\CurrentVersion\Run kautta käyttämällä pythonw.exe-prosessia näkyvien artefaktien minimoimiseksi.
  • Lisäpayloadien toimitus sisältää latauksia pilvihostauksesta (esim. Dropbox) ja myöhemmissä ketjuissa scheduled task -pysyvyyttä (esim. tehtävä nimeltä “SoftwareProtection”), jotta Python-payloadit suoritetaan toistuvasti.

Vaikutus IT-järjestelmänvalvojille ja loppukäyttäjille

  • Loppukäyttäjät saattavat raportoida äkillisiä selaimen kaatumisia, toistuvia “security”-pop-upeja tai ohjeita suorittaa komentoja ongelman korjaamiseksi.
  • Järjestelmänvalvojien kannattaa varautua verkkon, päätelaitteen ja identiteetin yli näkyvään käyttäytymisten yhdistelmään: epäilyttävät laajennusasennukset, LOLBin-suorituskuviot, PowerShell-obfuskointi, Python-tulkkien pudottaminen käyttäjätilaan, uudet Run-avaimet sekä epäilyttävät scheduled task -tehtävät.
  • Kampanjan valikoiva käyttöönotto domain-joined -järjestelmissä viittaa pyrkimykseen priorisoida yritystason pääsy.

Toimenpiteet / seuraavat askeleet

  • Varmista, että Microsoft Defender Antivirus cloud-delivered protection on käytössä (tai vastaava), jotta nopeasti kehittyvät variantit havaitaan.
  • Ota käyttöön Microsoft Defender for Endpoint EDR in block mode, jotta post-breach-artefaktit estetään myös silloin, kun toinen AV on ensisijainen.
  • Tarkista ja tiukennna browser extensions -hallintaa (allowlistit, laajennusten asennusrajoitukset ja uusien asennusten valvonta).
  • Tee metsästystä epäilyttävistä malleista:
    • finger.exe kopioitu/uudelleennimetty (esim. ct.exe) ja odottamattomat ulospäin suuntautuvat yhteydet
    • Obfuskoitu PowerShell, joka käynnistää lataustoimintaa
    • Uudet HKCU Run -merkinnät, jotka kutsuvat pythonw.exe
    • Scheduled task -tehtävät harmittoman oloisilla nimillä (esim. “SoftwareProtection”), jotka suorittavat skriptejä muutaman minuutin välein
  • Vahvista käyttäjäohjeistusta: älä koskaan suorita pop-upeista tulevia “fix”-komentoja; raportoi selaimen kaatumissilmukat ja odottamattomat laajennuskehotteet välittömästi.

Tarvitsetko apua Security-asioissa?

Asiantuntijamme auttavat sinua toteuttamaan ja optimoimaan Microsoft-ratkaisusi.

Keskustele asiantuntijan kanssa

Pysy ajan tasalla Microsoft-teknologioista

Lue alkuperäinen artikkeli kirjoittajalta Microsoft Defender Security Research Team
Microsoft Defender for EndpointClickFixsocial engineeringPowerShellPython RAT

Aiheeseen liittyvät

Security

Trivy Supply Chain Compromise: Defender Guidance

Microsoft has published detection, investigation, and mitigation guidance for the March 2026 Trivy supply chain compromise that affected the Trivy binary and related GitHub Actions. The incident matters because it weaponized trusted CI/CD security tooling to steal credentials from build pipelines, cloud environments, and developer systems while appearing to run normally.

Security

AI Agent Governance: Aligning Intent for Security

Microsoft outlines a governance model for AI agents that aligns user, developer, role-based, and organizational intent. The framework helps enterprises keep agents useful, secure, and compliant by defining behavioral boundaries and a clear order of precedence when conflicts arise.

Security

Microsoft Defender Predictive Shielding Stops GPO Ransomware

Microsoft detailed a real-world ransomware case in which Defender’s predictive shielding detected malicious Group Policy Object abuse before encryption began. By hardening GPO propagation and disrupting compromised accounts, Defender blocked about 97% of attempted encryption activity and prevented any devices from being encrypted through the GPO delivery path.

Security

Microsoft Agentic AI Security Tools Unveiled at RSAC

At RSAC 2026, Microsoft introduced a broader security strategy for enterprise AI, led by Agent 365, a new control plane for governing and protecting AI agents that will reach general availability on May 1. The company also announced expanded AI risk visibility and identity protections across Defender, Entra, Purview, Intune, and new shadow AI detection tools, signaling that securing AI usage is becoming a core part of enterprise security operations as adoption accelerates.

Security

Microsoft CTI-REALM Benchmarks AI Detection Engineering

Microsoft has introduced CTI-REALM, an open-source benchmark designed to test whether AI agents can actually perform detection engineering tasks end to end, from interpreting threat intelligence reports to generating and refining KQL and Sigma detection rules. This matters because it gives security teams a more realistic way to evaluate AI for SOC operations, focusing on measurable operational outcomes across real environments instead of simple cybersecurity question answering.

Security

Microsoft Zero Trust for AI: Workshop and Architecture

Microsoft has introduced Zero Trust for AI guidance, adding an AI-focused pillar to its Zero Trust Workshop and expanding its assessment tool with new Data and Network pillars. The update matters because it gives enterprises a structured way to secure AI systems against risks like prompt injection, data poisoning, and excessive access while aligning security, IT, and business teams around nearly 700 controls.