Security

CrashFix malware misbruikt browsercrashes en LOLBins

3 min leestijd

Samenvatting

Onderzoekers signaleren een nieuwe malwarevariant, CrashFix, die via een kwaadaardige browserextensie eerst bewust browsercrashes veroorzaakt en daarna een nep-oplossing toont om gebruikers zelf schadelijke opdrachten te laten uitvoeren. Dit is belangrijk omdat de aanval slim gebruikmaakt van social engineering, delayed execution en legitieme Windows-tools (LOLBins), waardoor traditionele detectie op basis van signatures makkelijker kan worden omzeild en IT-teams extra alert moeten zijn op user-driven execution.

Hulp nodig met Security?Praat met een expert

Introductie

ClickFix heeft historisch vertrouwd op social engineering om gebruikers door aanvallers aangeleverde opdrachten te laten uitvoeren. De nieuwe CrashFix-variant verhoogt het slagingspercentage door eerst de gebruikerservaring te verstoren (browser-DoS/crash loop) en vervolgens een “fix”-workflow te presenteren die slachtoffers ertoe brengt zelf opdrachten uit te voeren—waardoor de afhankelijkheid van exploits afneemt en de stealth toeneemt. Voor IT-teams is dit een praktische herinnering dat user-driven execution + LOLBins + scriptpayloads traditionele defenses op basis van alleen signatures kunnen omzeilen.

Wat is er nieuw in CrashFix (kern-gedragingen)

1) Kwaadaardige extensie met vertraagde sabotage

  • Initiële toegang begint vaak met een gebruiker die zoekt naar een ad blocker en op een kwaadaardige advertentie klikt.
  • De gebruiker wordt omgeleid naar de Chrome Web Store om een extensie te installeren die zich voordoet als uBlock Origin Lite, wat valse legitimiteit creëert.
  • De extensie gebruikt delayed execution, zodat browserproblemen pas later optreden, waardoor het voor gebruikers lastiger is de symptomen te koppelen aan de installatie van de extensie.

2) Browser crash loop + nep “CrashFix”-prompt

  • De payload triggert een browser-denial-of-service via een infinite loop en toont vervolgens een nepbeveiligingswaarschuwing/pop-up.
  • De pop-up probeert de gebruiker te overtuigen opdrachten uit te voeren (bijvoorbeeld via Windows Run), waardoor de gebruiker het uitvoeringsmechanisme wordt.

3) LOLBin-misbruik: finger.exe hernoemd en gebruikt als loader

  • Een opvallende wijziging is misbruik van de legitieme Windows-utility finger.exe, gekopieerd naar een temp-locatie en hernoemd (bijv. ct.exe) om detectie te bemoeilijken.
  • De hernoemde binary maakt een uitgaande verbinding om een geobfusceerde, gefaseerde PowerShell-chain op te halen die aanvullende payloads dropt in locaties binnen het gebruikersprofiel.

4) Targeting-logica: domain-joined systemen krijgen de backdoor

  • Het PowerShell-script voert environment checks uit (bijv. of het apparaat domain-joined is) en zoekt naar analysetools.
  • Wanneer enterprise-voorwaarden met hogere waarde worden gedetecteerd, downloadt het een portable WinPython distribution en een Python RAT (Microsoft verwijst hiernaar als ModeloRAT).

5) Persistentie en vervolg-payloads

  • Persistentie wordt ingesteld via HKCU\Software\Microsoft\Windows\CurrentVersion\Run met pythonw.exe om zichtbare artifacts te minimaliseren.
  • Aanvullende payload delivery omvat downloads vanaf cloudhosting (bijv. Dropbox) en, in latere chains, scheduled task-persistentie (bijv. een taak genaamd “SoftwareProtection”) om Python-payloads herhaaldelijk uit te voeren.

Impact op IT-beheerders en eindgebruikers

  • Eindgebruikers kunnen plotselinge browsercrashes melden, herhaalde “security”-pop-ups of instructies die hen vertellen opdrachten uit te voeren om het probleem te verhelpen.
  • Beheerders moeten een mix van gedragingen verwachten over web, endpoint en identity: verdachte extensie-installaties, LOLBin-uitvoeringspatronen, PowerShell-obfuscatie, Python-interpreters die in user space worden gedropt, nieuwe Run keys en verdachte scheduled tasks.
  • De selectieve uitrol op domain-joined systemen wijst op een intentie om enterprise access te prioriteren.

Actiepunten / volgende stappen

  • Zorg dat Microsoft Defender Antivirus cloud-delivered protection is ingeschakeld (of een equivalent) om snel evoluerende varianten te detecteren.
  • Schakel Microsoft Defender for Endpoint EDR in block mode in om post-breach artifacts te blokkeren, zelfs wanneer een andere AV primair is.
  • Controleer en verscherp controls voor browser extensions (allowlists, restricties op extensie-installaties en monitoring van nieuwe installs).
  • Hunt op verdachte patronen:
    • finger.exe gekopieerd/hernoemd (bijv. ct.exe) en onverwachte uitgaande verbindingen
    • Geobfusceerde PowerShell die download-activiteit start
    • Nieuwe HKCU Run-entries die pythonw.exe aanroepen
    • Scheduled tasks met onschuldig ogende namen (bijv. “SoftwareProtection”) die elke paar minuten scripts uitvoeren
  • Versterk gebruikersrichtlijnen: voer nooit “fix”-opdrachten uit vanuit pop-ups; meld browser crash loops en onverwachte extensie-prompts onmiddellijk.

Hulp nodig met Security?

Onze experts helpen u bij het implementeren en optimaliseren van uw Microsoft-oplossingen.

Praat met een expert

Blijf op de hoogte van Microsoft-technologieën

Lees het originele artikel van Microsoft Defender Security Research Team
Microsoft Defender for EndpointClickFixsocial engineeringPowerShellPython RAT

Gerelateerde artikelen

Security

Trivy supply chain-aanval: Defender-richtlijnen

Microsoft heeft detectie-, onderzoeks- en mitigatierichtlijnen gepubliceerd voor het Trivy supply chain-compromis van maart 2026, dat de Trivy-binary en gerelateerde GitHub Actions trof. Het incident is belangrijk omdat vertrouwde CI/CD-beveiligingstools werden misbruikt om referenties te stelen uit buildpijplijnen, cloudomgevingen en ontwikkelaarsystemen terwijl alles ogenschijnlijk normaal bleef werken.

Security

AI-agentgovernance: intent afstemmen voor security

Microsoft schetst een governancemodel voor AI-agents dat gebruikers-, ontwikkelaars-, rolgebaseerde en organisatorische intent op elkaar afstemt. Het framework helpt ondernemingen agents nuttig, veilig en compliant te houden door gedragsgrenzen en een duidelijke rangorde te definiëren wanneer conflicten ontstaan.

Security

Microsoft Defender predictive shielding stopt GPO-ransomware

Microsoft beschreef een praktijkgeval van ransomware waarbij Defender’s predictive shielding misbruik van Group Policy Objects (GPO’s) detecteerde voordat encryptie begon. Door GPO-verspreiding te verharden en gecompromitteerde accounts te verstoren, blokkeerde Defender ongeveer 97% van de poging tot encryptie en voorkwam het dat apparaten via het GPO-distributiepad werden versleuteld.

Security

Microsoft beveiliging voor agentic AI op RSAC 2026

Microsoft presenteerde op RSAC 2026 een end-to-end beveiligingsaanpak voor agentic AI, met als belangrijkste aankondiging dat Agent 365 op 1 mei algemeen beschikbaar wordt als control plane om AI-agents op schaal te beheren, beveiligen en monitoren. Daarnaast introduceert het bedrijf nieuwe zichtbaarheidstools zoals het Security Dashboard for AI en Entra Internet Access Shadow AI Detection, wat belangrijk is omdat organisaties sneller AI inzetten en daardoor meer risico lopen op datalekken, onbeheerd AI-gebruik en nieuwe dreigingen.

Security

CTI-REALM open-source benchmark voor AI-detectie

Microsoft heeft CTI-REALM uitgebracht, een open-source benchmark die meet of AI-agents daadwerkelijk bruikbare detectieregels kunnen bouwen en valideren op basis van threat intelligence, in plaats van alleen cybervragen te beantwoorden. Dat is relevant voor security- en SOC-teams, omdat het een realistischer beeld geeft van de praktische inzetbaarheid van AI in detectie-engineering over Linux, AKS en Azure-omgevingen.

Security

Microsoft Zero Trust for AI: workshop en architectuur

Microsoft heeft zijn Zero Trust-aanpak uitgebreid naar AI met nieuwe richtlijnen en een aparte AI-pijler in de Zero Trust Workshop, zodat organisaties risico’s rond modellen, agents, prompts en databronnen systematisch kunnen beoordelen. Dit is belangrijk omdat bedrijven AI snel invoeren en securityteams daarmee concrete handvatten krijgen om dreigingen zoals prompt injection, data poisoning en ongeautoriseerde toegang beter te beheersen.