Security

CrashFix: сбой браузера, LOLBins и Python RAT

3 мин. чтения

Кратко

Новый вариант социальной атаки CrashFix сначала намеренно вызывает цикл сбоев браузера через вредоносное расширение, маскирующееся под uBlock Origin Lite, а затем показывает поддельное окно «исправления», чтобы убедить пользователя самостоятельно запустить вредоносные команды. Это важно, потому что схема сочетает действия по инициативе жертвы, LOLBins и скриптовые нагрузки, что помогает обходить традиционные сигнатурные средства защиты и повышает успешность атак без явных эксплойтов.

Нужна помощь с Security?Поговорить с экспертом

Введение

ClickFix исторически полагался на социальную инженерию, чтобы заставить пользователей выполнять команды, предоставленные атакующим. Новый вариант CrashFix повышает успешность, сначала ухудшая пользовательский опыт (DoS/цикл крашей браузера), а затем предлагая рабочий процесс «исправления», который приводит к тому, что жертвы сами запускают команды — снижая зависимость от эксплойтов и повышая скрытность. Для IT-команд это практическое напоминание о том, что запуск по инициативе пользователя + LOLBins + скриптовые нагрузки могут обходить традиционные защиты, основанные только на сигнатурах.

Что нового в CrashFix (ключевые поведения)

1) Вредоносное расширение с отложенной саботажной активностью

  • Первичный доступ часто начинается с того, что пользователь ищет блокировщик рекламы и кликает по вредоносному объявлению.
  • Пользователь перенаправляется в Chrome Web Store для установки расширения, выдающего себя за uBlock Origin Lite, что создает ложное ощущение легитимности.
  • Расширение использует отложенное выполнение, из‑за чего проблемы в браузере проявляются позже, и пользователям сложнее связать симптомы с установкой расширения.

2) Цикл крашей браузера + поддельное окно «CrashFix»

  • Нагрузка вызывает отказ в обслуживании браузера через бесконечный цикл, затем отображает фальшивое предупреждение/всплывающее окно безопасности.
  • Всплывающее окно пытается убедить пользователя выполнить команды (например, через Windows Run), превращая пользователя в механизм выполнения.

3) Злоупотребление LOLBin: finger.exe переименовывается и используется как загрузчик

  • Заметное изменение — злоупотребление легитимной утилитой Windows finger.exe, которая копируется во временную директорию и переименовывается (например, в ct.exe) для усложнения обнаружения.
  • Переименованный бинарник инициирует исходящее соединение, чтобы получить обфусцированную, многоступенчатую цепочку PowerShell, которая сбрасывает дополнительные нагрузки в каталоги профиля пользователя.

4) Логика нацеливания: на системах, присоединенных к домену, устанавливается бэкдор

  • Скрипт PowerShell выполняет проверки среды (например, является ли устройство domain-joined) и ищет инструменты анализа.
  • При обнаружении более ценных корпоративных условий он загружает portable WinPython distribution и Python RAT (Microsoft называет его ModeloRAT).

5) Закрепление и последующие нагрузки

  • Закрепление выполняется через HKCU\Software\Microsoft\Windows\CurrentVersion\Run с использованием pythonw.exe для минимизации видимых артефактов.
  • Дополнительная доставка нагрузок включает загрузки из облачного хостинга (например, Dropbox) и, в более поздних цепочках, закрепление через запланированные задачи (например, задача с именем «SoftwareProtection») для периодического запуска Python-нагрузок.

Влияние на IT-администраторов и конечных пользователей

  • Конечные пользователи могут сообщать о внезапных сбоях браузера, повторяющихся «security» всплывающих окнах или инструкциях запустить команды для устранения проблемы.
  • Администраторам следует ожидать сочетание признаков на уровнях web, endpoint и identity: подозрительные установки расширений, паттерны выполнения LOLBin, обфускация PowerShell, интерпретаторы Python, сброшенные в пользовательское пространство, новые ключи Run и подозрительные запланированные задачи.
  • Избирательное развертывание на domain-joined systems указывает на намерение приоритизировать доступ к корпоративной среде.

Рекомендуемые действия / следующие шаги

  • Убедитесь, что включена Microsoft Defender Antivirus cloud-delivered protection (или эквивалент), чтобы выявлять быстро эволюционирующие варианты.
  • Включите Microsoft Defender for Endpoint EDR in block mode, чтобы блокировать артефакты посткомпрометации, даже если основным является другой AV.
  • Пересмотрите и усилите контроль browser extensions (allowlists, ограничения на установку расширений и мониторинг новых установок).
  • Выполняйте поиск по подозрительным паттернам:
    • finger.exe, скопированный/переименованный (например, ct.exe), и неожиданные исходящие соединения
    • Обфусцированный PowerShell, порождающий активность загрузок
    • Новые записи HKCU Run, вызывающие pythonw.exe
    • Запланированные задачи с безобидными названиями (например, «SoftwareProtection»), выполняющие скрипты каждые несколько минут
  • Усильте пользовательские рекомендации: никогда не запускайте «fix» команды из всплывающих окон; немедленно сообщайте о циклах крашей браузера и неожиданных запросах на установку расширений.

Нужна помощь с Security?

Наши эксперты помогут вам внедрить и оптимизировать решения Microsoft.

Поговорить с экспертом

Будьте в курсе технологий Microsoft

Читать оригинальную статью от Microsoft Defender Security Research Team
Microsoft Defender for EndpointClickFixsocial engineeringPowerShellPython RAT

Похожие статьи

Security

Компрометация цепочки поставок Trivy: рекомендации Defender

Microsoft опубликовала рекомендации по обнаружению, расследованию и смягчению последствий компрометации цепочки поставок Trivy в марте 2026 года, затронувшей бинарный файл Trivy и связанные GitHub Actions. Инцидент важен тем, что доверенный инструмент безопасности CI/CD был использован для кражи учетных данных из пайплайнов сборки, облачных сред и систем разработчиков, при этом внешне работая как обычно.

Security

Управление AI Agent: выравнивание намерений для безопасности

Microsoft описывает модель управления для AI agents, которая выравнивает намерения пользователя, разработчика, роли и организации. Эта структура помогает компаниям сохранять полезность, безопасность и соответствие требованиям, задавая поведенческие границы и понятный порядок приоритета при возникновении конфликтов.

Security

Predictive shielding в Microsoft Defender против GPO-шифровальщика

Microsoft описала реальный случай ransomware, в котором predictive shielding в Defender обнаружил вредоносное злоупотребление Group Policy Objects (GPO) до начала шифрования. За счёт усиления защиты распространения GPO и блокировки скомпрометированных учётных записей Defender остановил около 97% попыток шифрования и не позволил зашифровать ни одно устройство через путь доставки GPO.

Security

Защита agentic AI: новые решения Microsoft на RSAC

На RSAC 2026 Microsoft представила комплексный набор решений для защиты agentic AI, включая Agent 365, который станет общедоступным 1 мая и позволит централизованно управлять, защищать и контролировать AI-агентов в связке с Defender, Entra и Purview. Это важно, потому что по мере массового внедрения AI-агентов компаниям нужны новые инструменты для выявления теневого использования AI, снижения риска утечек данных и управления доступом в масштабе всей организации.

Security

Microsoft open source CTI-REALM для AI detection engineering

Microsoft открыла CTI-REALM — бенчмарк, который проверяет, могут ли AI-агенты реально выполнять задачи detection engineering: анализировать CTI-отчёты, сопоставлять техники MITRE ATT&CK и создавать/валидировать правила обнаружения. Это важно для SOC и security-команд, потому что инструмент смещает оценку ИИ от теоретических ответов к практическим операционным результатам в Linux, AKS и Azure-средах.

Security

Zero Trust for AI от Microsoft: воркшоп и архитектура

Microsoft представила подход Zero Trust for AI и обновила Zero Trust Workshop, добавив отдельный AI-столп для оценки и проектирования защиты моделей, агентов, данных и автоматизированных решений. Это важно для компаний, внедряющих AI: новые рекомендации помогают системно учитывать риски вроде prompt injection и data poisoning, а также согласовать меры безопасности между IT, ИБ и бизнесом.