Security

CrashFix : faux crash navigateur et RAT Python

3 min de lecture

Résumé

CrashFix est une nouvelle variante de ClickFix qui sabote d’abord le navigateur via une extension malveillante se faisant passer pour uBlock Origin Lite, puis déclenche une boucle de crash avant d’afficher un faux processus de « réparation ». Cette approche pousse l’utilisateur à exécuter lui-même des commandes menant potentiellement à un RAT Python, ce qui la rend particulièrement préoccupante car elle contourne plus facilement les défenses basées sur les signatures en combinant ingénierie sociale, LOLBins et charges utiles scriptées.

Besoin d'aide avec Security ?Parler à un expert

Introduction

ClickFix s’est historiquement appuyé sur l’ingénierie sociale pour amener les utilisateurs à exécuter des commandes fournies par l’attaquant. La nouvelle variante CrashFix augmente le taux de réussite en dégradant d’abord l’expérience utilisateur (DoS/crash loop du navigateur), puis en présentant un workflow de « correction » qui conduit les victimes à exécuter elles-mêmes des commandes—réduisant la dépendance aux exploits tout en améliorant la furtivité. Pour les équipes IT, c’est un rappel concret que l’exécution pilotée par l’utilisateur + les LOLBins + des charges utiles de scripts peuvent contourner des défenses fondées uniquement sur des signatures.

Quoi de neuf dans CrashFix (comportements clés)

1) Extension malveillante avec sabotage différé

  • L’accès initial commence souvent par un utilisateur qui recherche un bloqueur de publicités et clique sur une publicité malveillante.
  • L’utilisateur est redirigé vers le Chrome Web Store pour installer une extension usurpant uBlock Origin Lite, créant une fausse légitimité.
  • L’extension utilise une exécution différée afin que les problèmes de navigateur surviennent plus tard, rendant plus difficile pour l’utilisateur d’associer les symptômes à l’installation de l’extension.

2) Crash loop du navigateur + faux prompt « CrashFix »

  • La charge utile déclenche un déni de service du navigateur via une boucle infinie, puis affiche un faux avertissement/pop-up de sécurité.
  • Le pop-up tente de convaincre l’utilisateur d’exécuter des commandes (par exemple via Exécuter de Windows), faisant de l’utilisateur le mécanisme d’exécution.

3) Abus de LOLBin : finger.exe renommé et utilisé comme loader

  • Un changement notable est l’abus de l’utilitaire Windows légitime finger.exe, copié dans un emplacement temporaire puis renommé (par ex. ct.exe) pour compliquer la détection.
  • Le binaire renommé établit une connexion sortante afin de récupérer une chaîne PowerShell obfusquée et segmentée, qui dépose des charges utiles supplémentaires dans des emplacements du profil utilisateur.

4) Logique de ciblage : les systèmes joints au domaine reçoivent la backdoor

  • Le script PowerShell effectue des contrôles d’environnement (par ex. si l’appareil est domain-joined) et recherche des outils d’analyse.
  • Lorsque des conditions d’entreprise à plus forte valeur sont détectées, il télécharge une distribution WinPython portable ainsi qu’un Python RAT (Microsoft le désigne comme ModeloRAT).

5) Persistance et charges utiles ultérieures

  • La persistance est établie via HKCU\Software\Microsoft\Windows\CurrentVersion\Run en utilisant pythonw.exe pour réduire les artefacts visibles.
  • La livraison de charges utiles supplémentaires inclut des téléchargements depuis des hébergements cloud (par ex. Dropbox) et, dans des chaînes ultérieures, une persistance via tâche planifiée (par ex. une tâche nommée « SoftwareProtection ») afin d’exécuter des charges utiles Python de manière répétée.

Impact sur les administrateurs IT et les utilisateurs finaux

  • Les utilisateurs finaux peuvent signaler des crashs soudains du navigateur, des pop-ups « de sécurité » répétées, ou des instructions leur demandant d’exécuter des commandes pour corriger le problème.
  • Les administrateurs doivent s’attendre à un mélange de comportements côté web, endpoint et identité : installations suspectes d’extensions, schémas d’exécution de LOLBins, obfuscation PowerShell, interpréteurs Python déposés dans l’espace utilisateur, nouvelles clés Run et tâches planifiées suspectes.
  • Le déploiement sélectif sur des systèmes domain-joined indique une intention de privilégier l’accès aux environnements d’entreprise.

Actions / prochaines étapes

  • Vérifiez que la Microsoft Defender Antivirus cloud-delivered protection est activée (ou équivalent) afin de détecter des variantes qui évoluent rapidement.
  • Activez Microsoft Defender for Endpoint EDR in block mode pour bloquer des artefacts post-compromission même lorsqu’un autre antivirus est principal.
  • Révisez et renforcez les contrôles des extensions de navigateur (allowlists, restrictions d’installation d’extensions et surveillance des nouvelles installations).
  • Effectuez des recherches (hunting) sur des schémas suspects :
    • finger.exe copié/renommé (par ex. ct.exe) et connexions sortantes inattendues
    • PowerShell obfusqué initiant des activités de téléchargement
    • Nouvelles entrées HKCU Run invoquant pythonw.exe
    • Tâches planifiées avec des noms anodins (par ex. « SoftwareProtection ») exécutant des scripts toutes les quelques minutes
  • Renforcez les consignes utilisateurs : ne jamais exécuter des commandes de « correction » depuis des pop-ups ; signaler immédiatement les crash loops de navigateur et les invites d’extensions inattendues.

Besoin d'aide avec Security ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Microsoft Defender Security Research Team
Microsoft Defender for EndpointClickFixsocial engineeringPowerShellPython RAT

Articles connexes

Security

Compromission supply chain Trivy : guide Defender

Microsoft a publié des recommandations de détection, d’investigation et d’atténuation concernant la compromission de la supply chain Trivy de mars 2026, qui a affecté le binaire Trivy et des GitHub Actions associées. Cet incident est important, car il a détourné un outil de sécurité CI/CD de confiance pour voler des identifiants à partir de pipelines de build, d’environnements cloud et de systèmes de développeurs tout en semblant s’exécuter normalement.

Security

Gouvernance des agents IA : aligner l’intention

Microsoft présente un modèle de gouvernance pour les agents IA qui aligne l’intention de l’utilisateur, du développeur, du rôle et de l’organisation. Ce cadre aide les entreprises à garder des agents utiles, sécurisés et conformes en définissant des limites de comportement et un ordre de priorité clair en cas de conflit.

Security

Microsoft Defender : predictive shielding stoppe le ransomware GPO

Microsoft a détaillé un cas réel de ransomware dans lequel le predictive shielding de Defender a détecté un abus malveillant de Group Policy Object avant le début du chiffrement. En renforçant la propagation des GPO et en perturbant les comptes compromis, Defender a bloqué environ 97 % des tentatives de chiffrement et empêché tout appareil d’être chiffré via le chemin de diffusion GPO.

Security

Sécurité agentic AI : Microsoft renforce sa protection

Microsoft a présenté à la RSAC 2026 une stratégie complète pour sécuriser l’agentic AI en entreprise, avec le lancement en disponibilité générale d’Agent 365 le 1er mai et de nouveaux outils de visibilité comme Security Dashboard for AI. Ces annonces comptent car elles visent à aider les équipes IT et sécurité à mieux gouverner les agents AI, limiter les risques de surpartage de données et détecter plus tôt les menaces émergentes liées à l’IA.

Security

CTI-REALM open source : benchmark IA cybersécurité

Microsoft a dévoilé CTI-REALM, un benchmark open source qui évalue si des agents IA peuvent réellement produire des détections de sécurité de bout en bout à partir de rapports de cyber threat intelligence, plutôt que simplement répondre à des questions théoriques. C’est important pour les équipes SOC, car cet outil mesure des résultats opérationnels concrets — sur Linux, AKS et Azure — et aide à comparer la capacité réelle des modèles à soutenir l’ingénierie de détection.

Security

Zero Trust for AI de Microsoft : atelier et architecture

Microsoft a enrichi sa documentation Zero Trust avec une approche dédiée à l’IA, appliquant les principes « verify explicitly », « least privilege » et « assume breach » aux modèles, agents, prompts et sources de données. Cette évolution compte parce qu’elle fournit aux équipes IT et sécurité un cadre concret, renforcé par un nouveau pilier IA dans le Zero Trust Workshop, pour évaluer les risques propres à l’IA et déployer des contrôles adaptés à grande échelle.