Security

CrashFix: malware que causa crash no browser e instala RAT

3 min de leitura

Resumo

A campanha CrashFix evolui o modelo do ClickFix ao provocar primeiro um crash ou loop no browser através de uma extensão maliciosa disfarçada de uBlock Origin Lite e, depois, induzir a vítima a executar comandos de “correção” que podem instalar um RAT. Isto importa porque combina engenharia social, LOLBins e payloads em script para contornar defesas tradicionais baseadas em assinaturas, aumentando a furtividade e a probabilidade de infeção.

Precisa de ajuda com Security?Fale com um especialista

Introdução

Historicamente, o ClickFix tem-se apoiado em engenharia social para levar os utilizadores a executar comandos fornecidos pelo atacante. A nova variante CrashFix aumenta a taxa de sucesso ao primeiro interromper a experiência do utilizador (DoS do browser/loop de crash) e depois apresentar um fluxo de “correção” que leva as vítimas a executar os comandos por iniciativa própria — reduzindo a dependência de exploits e aumentando a furtividade. Para as equipas de IT, isto é um lembrete prático de que execução orientada pelo utilizador + LOLBins + payloads em script podem contornar defesas tradicionais baseadas apenas em assinaturas.

O que há de novo no CrashFix (comportamentos-chave)

1) Extensão maliciosa com sabotagem atrasada

  • O acesso inicial começa muitas vezes com um utilizador a pesquisar um ad blocker e a clicar num anúncio malicioso.
  • O utilizador é redirecionado para a Chrome Web Store para instalar uma extensão que se faz passar por uBlock Origin Lite, criando uma falsa legitimidade.
  • A extensão usa execução atrasada para que os problemas do browser surjam mais tarde, tornando mais difícil para os utilizadores associarem os sintomas à instalação da extensão.

2) Loop de crash do browser + falso prompt “CrashFix”

  • O payload desencadeia um denial-of-service do browser através de um loop infinito e, em seguida, apresenta um falso aviso de segurança/pop-up.
  • O pop-up tenta convencer o utilizador a executar comandos (por exemplo, via Windows Run), transformando o utilizador no mecanismo de execução.

3) Abuso de LOLBin: finger.exe renomeado e usado como loader

  • Uma alteração notável é o abuso do utilitário legítimo do Windows finger.exe, copiado para uma localização temporária e renomeado (por exemplo, ct.exe) para dificultar a deteção.
  • O binário renomeado liga-se para fora para obter uma cadeia PowerShell faseada e ofuscada, que deposita payloads adicionais em localizações do perfil do utilizador.

4) Lógica de targeting: sistemas domain-joined recebem a backdoor

  • O script PowerShell faz verificações ao ambiente (por exemplo, se o dispositivo está domain-joined) e procura ferramentas de análise.
  • Quando são detetadas condições empresariais de maior valor, faz download de uma distribuição WinPython portátil e de um Python RAT (a Microsoft refere-se a este como ModeloRAT).

5) Persistência e payloads subsequentes

  • A persistência é estabelecida via HKCU\Software\Microsoft\Windows\CurrentVersion\Run usando pythonw.exe para minimizar artefactos visíveis.
  • A entrega de payloads adicionais inclui downloads a partir de alojamento cloud (por exemplo, Dropbox) e, em cadeias posteriores, persistência via scheduled task (por exemplo, uma tarefa chamada “SoftwareProtection”) para executar payloads Python repetidamente.

Impacto para administradores de IT e utilizadores finais

  • Utilizadores finais podem reportar crashes súbitos do browser, pop-ups repetidos de “segurança” ou instruções a indicar que devem executar comandos para corrigir o problema.
  • Admins devem esperar uma mistura de comportamentos entre web, endpoint e identidade: instalações suspeitas de extensões, padrões de execução de LOLBin, ofuscação PowerShell, interpreters Python colocados em espaço do utilizador, novas Run keys e scheduled tasks suspeitas.
  • A implementação seletiva em sistemas domain-joined indica uma intenção de priorizar o acesso a ambientes empresariais.

Ações / próximos passos

  • Garanta que a Microsoft Defender Antivirus cloud-delivered protection está ativada (ou equivalente) para detetar variantes em rápida evolução.
  • Ative o Microsoft Defender for Endpoint EDR in block mode para bloquear artefactos pós-compromisso, mesmo quando outro AV é o principal.
  • Reveja e reforce os controlos para extensões do browser (allowlists, restrições de instalação de extensões e monitorização de novas instalações).
  • Procure padrões suspeitos:
    • finger.exe copiado/renomeado (por exemplo, ct.exe) e ligações de saída inesperadas
    • PowerShell ofuscado a iniciar atividade de download
    • Novas entradas HKCU Run a invocar pythonw.exe
    • Scheduled tasks com nomes aparentemente benignos (por exemplo, “SoftwareProtection”) a executar scripts a cada poucos minutos
  • Reforce a orientação aos utilizadores: nunca executar comandos de “correção” a partir de pop-ups; reportar de imediato loops de crash do browser e prompts inesperados de extensões.

Precisa de ajuda com Security?

Nossos especialistas podem ajudá-lo a implementar e otimizar suas soluções Microsoft.

Fale com um especialista

Fique atualizado sobre as tecnologias Microsoft

Ler o artigo original de Microsoft Defender Security Research Team
Microsoft Defender for EndpointClickFixsocial engineeringPowerShellPython RAT

Posts relacionados

Security

Trivy Supply Chain Compromise: Defender Guidance

Microsoft has published detection, investigation, and mitigation guidance for the March 2026 Trivy supply chain compromise that affected the Trivy binary and related GitHub Actions. The incident matters because it weaponized trusted CI/CD security tooling to steal credentials from build pipelines, cloud environments, and developer systems while appearing to run normally.

Security

AI Agent Governance: Aligning Intent for Security

Microsoft outlines a governance model for AI agents that aligns user, developer, role-based, and organizational intent. The framework helps enterprises keep agents useful, secure, and compliant by defining behavioral boundaries and a clear order of precedence when conflicts arise.

Security

Microsoft Defender Predictive Shielding Stops GPO Ransomware

Microsoft detailed a real-world ransomware case in which Defender’s predictive shielding detected malicious Group Policy Object abuse before encryption began. By hardening GPO propagation and disrupting compromised accounts, Defender blocked about 97% of attempted encryption activity and prevented any devices from being encrypted through the GPO delivery path.

Security

Microsoft Agentic AI Security Tools Unveiled at RSAC

At RSAC 2026, Microsoft introduced a broader security strategy for enterprise AI, led by Agent 365, a new control plane for governing and protecting AI agents that will reach general availability on May 1. The company also announced expanded AI risk visibility and identity protections across Defender, Entra, Purview, Intune, and new shadow AI detection tools, signaling that securing AI usage is becoming a core part of enterprise security operations as adoption accelerates.

Security

Microsoft CTI-REALM Benchmarks AI Detection Engineering

Microsoft has introduced CTI-REALM, an open-source benchmark designed to test whether AI agents can actually perform detection engineering tasks end to end, from interpreting threat intelligence reports to generating and refining KQL and Sigma detection rules. This matters because it gives security teams a more realistic way to evaluate AI for SOC operations, focusing on measurable operational outcomes across real environments instead of simple cybersecurity question answering.

Security

Microsoft Zero Trust for AI: Workshop and Architecture

Microsoft has introduced Zero Trust for AI guidance, adding an AI-focused pillar to its Zero Trust Workshop and expanding its assessment tool with new Data and Network pillars. The update matters because it gives enterprises a structured way to secure AI systems against risks like prompt injection, data poisoning, and excessive access while aligning security, IT, and business teams around nearly 700 controls.