Security

CrashFix malware: browser crash, LOLBins e Python RAT

3 min di lettura

Riepilogo

CrashFix is a new malware variant that first sabotages the browser with delayed crashes and denial-of-service behavior, then tricks users with a fake “repair” prompt into running attacker-provided commands themselves. This matters because it combines social engineering, living-off-the-land binaries, and script-based payloads to bypass traditional signature-based defenses while making the infection appear like a legitimate browser fix.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione

Storicamente ClickFix si è affidato al social engineering per indurre gli utenti a eseguire comandi forniti dagli attaccanti. La nuova variante CrashFix aumenta la probabilità di successo prima compromettendo l’esperienza utente (browser DoS/ciclo di crash) e poi presentando un flusso di “riparazione” che porta le vittime a eseguire autonomamente i comandi—riducendo la dipendenza dagli exploit e aumentando la stealth. Per i team IT, è un promemoria pratico che esecuzione guidata dall’utente + LOLBins + payload di script possono aggirare le difese tradizionali basate solo su firme.

Cosa c’è di nuovo in CrashFix (comportamenti chiave)

1) Estensione malevola con sabotaggio ritardato

  • L’accesso iniziale spesso inizia con un utente che cerca un ad blocker e clicca su un annuncio malevolo.
  • L’utente viene reindirizzato al Chrome Web Store per installare un’estensione che impersona uBlock Origin Lite, creando una falsa legittimità.
  • L’estensione usa esecuzione ritardata in modo che i problemi del browser si manifestino più tardi, rendendo più difficile per l’utente associare i sintomi all’installazione dell’estensione.

2) Ciclo di crash del browser + finto prompt “CrashFix”

  • Il payload innesca un denial-of-service del browser tramite un loop infinito, quindi mostra un finto avviso di sicurezza/pop-up.
  • Il pop-up cerca di convincere l’utente a eseguire comandi (ad esempio tramite Windows Run), trasformando l’utente nel meccanismo di esecuzione.

3) Abuso di LOLBin: finger.exe rinominato e usato come loader

  • Un cambiamento rilevante è l’abuso della legittima utility Windows finger.exe, copiata in una posizione temp e rinominata (ad esempio ct.exe) per rendere meno evidente il rilevamento.
  • Il binario rinominato effettua una connessione in uscita per recuperare una catena PowerShell offuscata e a più stadi che rilascia ulteriori payload nelle posizioni del profilo utente.

4) Logica di targeting: i sistemi domain-joined ricevono la backdoor

  • Lo script PowerShell esegue controlli dell’ambiente (ad esempio se il dispositivo è domain-joined) e cerca strumenti di analisi.
  • Quando vengono rilevate condizioni enterprise a maggiore valore, scarica una distribuzione WinPython portatile e un Python RAT (Microsoft lo indica come ModeloRAT).

5) Persistenza e payload successivi

  • La persistenza viene stabilita tramite HKCU\Software\Microsoft\Windows\CurrentVersion\Run usando pythonw.exe per ridurre gli artefatti visibili.
  • La consegna di payload aggiuntivi include download da hosting cloud (ad esempio Dropbox) e, in catene successive, persistenza tramite utilità di pianificazione (ad esempio un’attività denominata “SoftwareProtection”) per eseguire ripetutamente i payload Python.

Impatto su amministratori IT e utenti finali

  • Utenti finali possono segnalare crash improvvisi del browser, ripetuti pop-up di “sicurezza” o istruzioni che indicano di eseguire comandi per risolvere il problema.
  • Amministratori dovrebbero aspettarsi una combinazione di comportamenti tra web, endpoint e identità: installazioni sospette di estensioni, pattern di esecuzione di LOLBin, offuscamento PowerShell, interpreti Python rilasciati nello spazio utente, nuove chiavi Run e attività pianificate sospette.
  • Il rilascio selettivo su sistemi domain-joined indica l’intento di dare priorità all’accesso in ambito enterprise.

Azioni / prossimi passi

  • Assicurarsi che Microsoft Defender Antivirus cloud-delivered protection sia abilitata (o equivalente) per intercettare varianti in rapida evoluzione.
  • Abilitare Microsoft Defender for Endpoint EDR in block mode per bloccare gli artefatti post-compromissione anche quando un altro AV è il principale.
  • Verificare e irrigidire i controlli sulle estensioni del browser (allowlist, restrizioni d’installazione delle estensioni e monitoraggio delle nuove installazioni).
  • Effettuare hunting per pattern sospetti:
    • finger.exe copiato/rinominato (ad esempio ct.exe) e connessioni in uscita inattese
    • PowerShell offuscato che avvia attività di download
    • Nuove voci HKCU Run che invocano pythonw.exe
    • Attività pianificate con nomi apparentemente innocui (ad esempio “SoftwareProtection”) che eseguono script ogni pochi minuti
  • Rafforzare le linee guida per gli utenti: non eseguire mai comandi di “riparazione” da pop-up; segnalare immediatamente cicli di crash del browser e prompt inattesi di installazione di estensioni.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Defender Security Research Team
Microsoft Defender for EndpointClickFixsocial engineeringPowerShellPython RAT

Articoli correlati

Security

Compromissione supply chain Trivy: guida Defender

Microsoft ha pubblicato linee guida per il rilevamento, l’indagine e la mitigazione della compromissione della supply chain di Trivy del marzo 2026, che ha interessato il binario Trivy e le GitHub Actions correlate. L’incidente è rilevante perché ha trasformato uno strumento di sicurezza CI/CD affidabile in un mezzo per rubare credenziali da pipeline di build, ambienti cloud e sistemi di sviluppo, continuando però a sembrare operativo normalmente.

Security

{{Governance degli AI agent: allineare gli intenti}}

{{Microsoft delinea un modello di governance per gli AI agent che allinea l’intento dell’utente, dello sviluppatore, basato sul ruolo e dell’organizzazione. Il framework aiuta le aziende a mantenere gli agent utili, sicuri e conformi definendo confini comportamentali e un chiaro ordine di precedenza quando sorgono conflitti.}}

Security

Microsoft Defender predictive shielding ferma ransomware GPO

Microsoft ha descritto un caso reale di ransomware in cui il predictive shielding di Defender ha rilevato l’abuso dannoso di Group Policy Object prima dell’inizio della crittografia. Rafforzando la propagazione dei GPO e interrompendo gli account compromessi, Defender ha bloccato circa il 97% dei tentativi di crittografia e ha impedito che qualsiasi dispositivo venisse cifrato tramite il percorso di distribuzione GPO.

Security

Sicurezza end-to-end per l’AI agentica con Microsoft

Microsoft ha presentato al RSAC 2026 una strategia di sicurezza end-to-end per l’AI agentica, annunciando la disponibilità generale di Agent 365 dal 1° maggio come piattaforma di controllo per osservare, proteggere e governare gli agenti AI su larga scala. La novità conta perché, insieme a strumenti come Security Dashboard for AI ed Entra Internet Access Shadow AI Detection, offre alle aziende maggiore visibilità sui rischi, aiuta a limitare l’accesso e la condivisione eccessiva dei dati e rafforza la difesa contro minacce AI emergenti.

Security

Microsoft Open Source CTI-REALM per AI Detection

Microsoft has open-sourced CTI-REALM, a new benchmark designed to test whether AI agents can perform real detection engineering work from cyber threat intelligence reports, not just answer cybersecurity questions. It matters because it evaluates end-to-end operational tasks across Linux, Azure Kubernetes Service, and Azure cloud environments, giving security teams a more realistic way to measure how useful AI may be for SOC and detection workflows.

Security

Microsoft Zero Trust for AI: workshop e architettura

Microsoft ha presentato Zero Trust for AI, una guida che estende i principi di Zero Trust agli ambienti AI per aiutare le aziende a proteggere modelli, agenti, dati e decisioni automatizzate. La novità più rilevante è l’aggiunta di un pilastro dedicato all’AI nel Zero Trust Workshop, con 700 controlli di sicurezza, 116 gruppi logici e 33 swim lane funzionali: un aggiornamento importante perché offre ai team IT e sicurezza un framework pratico per valutare i rischi dell’AI e applicare controlli coerenti su processi e tecnologie.