Security

CrashFix ClickFix-angrep: nettleserkræsj og RAT

3 min lesing

Sammendrag

CrashFix er en ny ClickFix-variant som først saboterer nettleseren med en krasj-loop via en ondsinnet utvidelse, og deretter lurer brukeren til å kjøre kommandoer selv gjennom en falsk «fikse»-prompt. Dette er viktig fordi angrepet kombinerer sosial manipulering, LOLBins og skript-payloads for å omgå tradisjonelle signaturbaserte forsvar, noe som gjør brukeropplæring og strengere kontroll av utvidelser og kjøring til sentrale tiltak.

Trenger du hjelp med Security?Snakk med en ekspert

Introduksjon

ClickFix har historisk sett basert seg på sosial manipulering for å få brukere til å kjøre kommandoer som angriperen oppgir. Den nye CrashFix-varianten øker suksessraten ved først å forstyrre brukeropplevelsen (nettleser-DoS/krasj-loop) og deretter presentere en «fikse»-arbeidsflyt som får ofre til å kjøre kommandoer selv—noe som reduserer avhengigheten av utnyttelser samtidig som det øker stealth. For IT-team er dette en praktisk påminnelse om at brukerdrevet kjøring + LOLBins + script-payloads kan omgå tradisjonelle forsvar som kun baserer seg på signaturer.

Hva er nytt i CrashFix (nøkkelatferd)

1) Ondsinnet utvidelse med forsinket sabotasje

  • Initial tilgang starter ofte med at en bruker søker etter en ad blocker og klikker på en ondsinnet annonse.
  • Brukeren blir omdirigert til Chrome Web Store for å installere en utvidelse som utgir seg for å være uBlock Origin Lite, noe som skaper falsk legitimitet.
  • Utvidelsen bruker forsinket kjøring slik at nettleserproblemer oppstår senere, noe som gjør det vanskeligere for brukere å koble symptomene til installasjonen av utvidelsen.

2) Nettleser-krasj-loop + falsk «CrashFix»-prompt

  • Payloaden utløser en denial-of-service i nettleseren via en uendelig loop, og viser deretter en falsk sikkerhetsadvarsel/pop-up.
  • Pop-upen forsøker å overbevise brukeren om å kjøre kommandoer (for eksempel via Windows Run), og gjør dermed brukeren til selve kjøringsmekanismen.

3) Misbruk av LOLBin: finger.exe omdøpt og brukt som loader

  • En merkbar endring er misbruk av det legitime Windows-verktøyet finger.exe, som kopieres til en temp-lokasjon og omdøpes (f.eks. ct.exe) for å skjule deteksjon.
  • Den omdøpte binæren kobler utgående for å hente en obfuskert, trinnvis PowerShell-kjede som slipper ytterligere payloads i brukerprofil-lokasjoner.

4) Mållogikk: domenetilknyttede systemer får bakdøren

  • PowerShell-scriptet utfører miljøsjekker (f.eks. om enheten er domain-joined) og ser etter analyseverktøy.
  • Når betingelser som indikerer høyere verdi i virksomhetsmiljø oppdages, laster det ned en portabel WinPython-distribusjon og en Python RAT (Microsoft omtaler den som ModeloRAT).

5) Persistens og påfølgende payloads

  • Persistens etableres via HKCU\Software\Microsoft\Windows\CurrentVersion\Run ved bruk av pythonw.exe for å minimere synlige spor.
  • Ytterligere payload-levering inkluderer nedlastinger fra sky-hosting (f.eks. Dropbox) og, i senere kjeder, persistens via planlagte oppgaver (f.eks. en oppgave kalt «SoftwareProtection») for å kjøre Python-payloads gjentatte ganger.

Påvirkning på IT-administratorer og sluttbrukere

  • Sluttbrukere kan rapportere plutselige nettleser-krasj, gjentatte «sikkerhets»-pop-ups eller instruksjoner om å kjøre kommandoer for å fikse problemet.
  • Administratorer bør forvente en blanding av atferd på tvers av web, endpoint og identitet: mistenkelige utvidelsesinstallasjoner, LOLBin-kjøringsmønstre, PowerShell-obfuskering, Python-interpretere sluppet i brukermiljø, nye Run-nøkler og mistenkelige planlagte oppgaver.
  • Kampanjens selektive distribusjon på domain-joined systemer indikerer en intensjon om å prioritere tilgang til virksomhetsmiljø.

Tiltak / neste steg

  • Sørg for at Microsoft Defender Antivirus cloud-delivered protection er aktivert (eller tilsvarende) for å fange raskt utviklende varianter.
  • Aktiver Microsoft Defender for Endpoint EDR in block mode for å blokkere artefakter etter kompromittering selv når en annen AV er primær.
  • Gjennomgå og stram inn kontrollene for nettleserutvidelser (allowlists, begrensninger for utvidelsesinstallasjon og overvåking av nye installasjoner).
  • Let etter mistenkelige mønstre:
    • finger.exe kopiert/omdøpt (f.eks. ct.exe) og uventede utgående tilkoblinger
    • Obfuskert PowerShell som starter nedlastingsaktivitet
    • Nye HKCU Run-oppføringer som kaller pythonw.exe
    • Planlagte oppgaver med uskyldig utseende navn (f.eks. «SoftwareProtection») som kjører script hvert få minutter
  • Forsterk brukerretningslinjer: kjør aldri «fikse»-kommandoer fra pop-ups; rapporter nettleser-krasj-loops og uventede utvidelsesforespørsler umiddelbart.

Trenger du hjelp med Security?

Våre eksperter kan hjelpe deg med å implementere og optimalisere dine Microsoft-løsninger.

Snakk med en ekspert

Hold deg oppdatert om Microsoft-teknologier

Les originalartikkelen av Microsoft Defender Security Research Team
Microsoft Defender for EndpointClickFixsocial engineeringPowerShellPython RAT

Relaterte innlegg

Security

Trivy Supply Chain Compromise: Defender Guidance

Microsoft has published detection, investigation, and mitigation guidance for the March 2026 Trivy supply chain compromise that affected the Trivy binary and related GitHub Actions. The incident matters because it weaponized trusted CI/CD security tooling to steal credentials from build pipelines, cloud environments, and developer systems while appearing to run normally.

Security

AI Agent Governance: Aligning Intent for Security

Microsoft outlines a governance model for AI agents that aligns user, developer, role-based, and organizational intent. The framework helps enterprises keep agents useful, secure, and compliant by defining behavioral boundaries and a clear order of precedence when conflicts arise.

Security

Microsoft Defender Predictive Shielding Stops GPO Ransomware

Microsoft detailed a real-world ransomware case in which Defender’s predictive shielding detected malicious Group Policy Object abuse before encryption began. By hardening GPO propagation and disrupting compromised accounts, Defender blocked about 97% of attempted encryption activity and prevented any devices from being encrypted through the GPO delivery path.

Security

Microsoft Agentic AI Security Tools Unveiled at RSAC

At RSAC 2026, Microsoft introduced a broader security strategy for enterprise AI, led by Agent 365, a new control plane for governing and protecting AI agents that will reach general availability on May 1. The company also announced expanded AI risk visibility and identity protections across Defender, Entra, Purview, Intune, and new shadow AI detection tools, signaling that securing AI usage is becoming a core part of enterprise security operations as adoption accelerates.

Security

Microsoft CTI-REALM Benchmarks AI Detection Engineering

Microsoft has introduced CTI-REALM, an open-source benchmark designed to test whether AI agents can actually perform detection engineering tasks end to end, from interpreting threat intelligence reports to generating and refining KQL and Sigma detection rules. This matters because it gives security teams a more realistic way to evaluate AI for SOC operations, focusing on measurable operational outcomes across real environments instead of simple cybersecurity question answering.

Security

Microsoft Zero Trust for AI: Workshop and Architecture

Microsoft has introduced Zero Trust for AI guidance, adding an AI-focused pillar to its Zero Trust Workshop and expanding its assessment tool with new Data and Network pillars. The update matters because it gives enterprises a structured way to secure AI systems against risks like prompt injection, data poisoning, and excessive access while aligning security, IT, and business teams around nearly 700 controls.