Security

CrashFix malver: rušenje pregledača i Python RAT

3 min čitanja

Sažetak

Nova varijanta malvera CrashFix unapređuje ClickFix taktiku tako što prvo namerno ruši pregledač kroz DoS petlju, a zatim prikazuje lažni „CrashFix” prompt koji navodi korisnika da sam pokrene zlonamerne komande. Ovo je važno jer kombinacija socijalnog inženjeringa, lažnih ekstenzija iz Chrome Web Store-a i zloupotrebe LOLBin alata pokazuje kako napadi mogu zaobići klasične zaštite zasnovane na potpisima i otežati otkrivanje IT timovima.

Trebate pomoć sa Security?Razgovarajte sa stručnjakom

Uvod

ClickFix se istorijski oslanjao na socijalni inženjering kako bi naveo korisnike da izvrše komande koje napadač obezbedi. Nova varijanta CrashFix povećava stopu uspeha tako što prvo narušava korisničko iskustvo (browser DoS/crash loop), a zatim prikazuje tok „popravke” koji dovodi do toga da žrtve same pokreću komande—smanjujući oslanjanje na exploit-e, uz povećanje prikrivenosti. Za IT timove, ovo je praktičan podsetnik da user-driven execution + LOLBins + script payloads može zaobići tradicionalne odbrane zasnovane isključivo na potpisima.

Šta je novo u CrashFix-u (ključna ponašanja)

1) Zlonamerna ekstenzija sa odloženom sabotažom

  • Početni pristup često počinje tako što korisnik pretražuje ad blocker i klikne na zlonamerni oglas.
  • Korisnik se preusmerava na Chrome Web Store da instalira ekstenziju koja se lažno predstavlja kao uBlock Origin Lite, čime se stvara privid legitimnosti.
  • Ekstenzija koristi odloženo izvršavanje, pa se problemi u pregledaču pojavljuju kasnije, što korisnicima otežava da simptome povežu sa instalacijom ekstenzije.

2) Loop rušenja pregledača + lažni „CrashFix” prompt

  • Payload izaziva denial-of-service u pregledaču putem beskonačne petlje, a zatim prikazuje lažno bezbednosno upozorenje/pop-up.
  • Pop-up pokušava da ubedi korisnika da izvrši komande (na primer preko Windows Run), pretvarajući korisnika u mehanizam izvršavanja.

3) Zloupotreba LOLBin-a: finger.exe preimenovan i korišćen kao loader

  • Značajna promena je zloupotreba legitimnog Windows alata finger.exe, koji se kopira u temp lokaciju i preimenuje (npr. u ct.exe) radi otežanog otkrivanja.
  • Preimenovani binarni fajl uspostavlja odlaznu konekciju kako bi preuzeo obfuskovani, fazni PowerShell lanac koji spušta dodatne payload-ove u lokacije unutar korisničkog profila.

4) Logika ciljanja: domain-joined sistemi dobijaju backdoor

  • PowerShell skripta sprovodi provere okruženja (npr. da li je uređaj domain-joined) i traži alate za analizu.
  • Kada se detektuju uslovi tipični za enterprise i veća vrednost mete, preuzima portable WinPython distribution i Python RAT (Microsoft ga označava kao ModeloRAT).

5) Postojanost i naknadni payload-ovi

  • Postojanost se uspostavlja preko HKCU\Software\Microsoft\Windows\CurrentVersion\Run uz korišćenje pythonw.exe radi minimizovanja vidljivih artefakata.
  • Dodatna isporuka payload-ova uključuje preuzimanja sa cloud hostinga (npr. Dropbox) i, u kasnijim lancima, postojanost preko scheduled task-a (npr. zadatak nazvan „SoftwareProtection”) kako bi se Python payload-ovi periodično pokretali.

Uticaj na IT administratore i krajnje korisnike

  • Krajnji korisnici mogu prijaviti iznenadna rušenja pregledača, ponavljajuće „security” pop-up prozore ili instrukcije da pokrenu komande kako bi „popravili” problem.
  • Administratori treba da očekuju kombinaciju ponašanja kroz web, endpoint i identitet: sumnjive instalacije ekstenzija, obrasce izvršavanja LOLBin-a, PowerShell obfuskaciju, Python interpretere spuštene u korisnički prostor, nove Run ključeve i sumnjive scheduled task-ove.
  • Selektivna isporuka na domain-joined sistemima ukazuje na nameru da se prioritet da enterprise pristupu.

Action items / sledeći koraci

  • Obezbedite da je Microsoft Defender Antivirus cloud-delivered protection omogućen (ili ekvivalent) kako bi se uhvatile varijante koje se brzo menjaju.
  • Omogućite Microsoft Defender for Endpoint EDR in block mode da blokira post-breach artefakte čak i kada je drugi AV primaran.
  • Pregledajte i pooštrite kontrole za browser extensions (allowlists, ograničenja instalacije ekstenzija i nadzor novih instalacija).
  • Hunt-ujte sumnjive obrasce:
    • finger.exe kopiran/preimenovan (npr. ct.exe) i neočekivane odlazne konekcije
    • Obfuskovani PowerShell koji pokreće download aktivnost
    • Novi unosi u HKCU Run koji pozivaju pythonw.exe
    • Scheduled task-ovi sa bezazlenim nazivima (npr. „SoftwareProtection”) koji izvršavaju skripte na svakih nekoliko minuta
  • Pojačajte smernice za korisnike: nikada ne pokrećite „fix” komande iz pop-up prozora; odmah prijavite loop rušenja pregledača i neočekivane prompt-ove za ekstenzije.

Trebate pomoć sa Security?

Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.

Razgovarajte sa stručnjakom

Budite u toku sa Microsoft tehnologijama

Pročitajte originalni članak od Microsoft Defender Security Research Team
Microsoft Defender for EndpointClickFixsocial engineeringPowerShellPython RAT

Povezani članci

Security

Trivy kompromitacija lanca snabdevanja: Defender

Microsoft je objavio smernice za detekciju, istragu i ublažavanje kompromitacije Trivy lanca snabdevanja iz marta 2026, koja je pogodila Trivy binarni fajl i povezane GitHub Actions. Incident je važan jer je zloupotrebio pouzdane CI/CD bezbednosne alate za krađu akreditiva iz build pipeline-ova, cloud okruženja i developerskih sistema, dok je izgledalo kao da radi normalno.

Security

Upravljanje AI agentima: usklađivanje namere

Microsoft predstavlja model upravljanja za AI agente koji usklađuje korisničku, razvojnu, ulogama zasnovanu i organizacionu nameru. Ovaj okvir pomaže preduzećima da agente održe korisnim, bezbednim i usklađenim tako što definiše granice ponašanja i jasan redosled prioriteta kada dođe do konflikta.

Security

Defender predictive shielding zaustavlja GPO ransomware

Microsoft je opisao stvarni slučaj ransomware napada u kome je Defender predictive shielding otkrio zloupotrebu Group Policy Object (GPO) mehanizama pre početka enkripcije. Ojačavanjem propagacije GPO-a i prekidanjem kompromitovanih naloga, Defender je blokirao oko 97% pokušaja enkripcije i sprečio da bilo koji uređaj bude šifrovan putem GPO kanala isporuke.

Security

Microsoft agentic AI bezbednost na RSAC 2026

Microsoft je na RSAC 2026 predstavio sveobuhvatnu strategiju za bezbednost agentic AI sistema, uključujući skoru opštu dostupnost platforme Agent 365 od 1. maja, uz integraciju sa Defender, Entra i Purview alatima za upravljanje, zaštitu pristupa i sprečavanje prekomernog deljenja podataka. Ovo je važno jer kompanijama donosi bolju vidljivost AI rizika, otkrivanje neovlašćene upotrebe AI aplikacija i jaču zaštitu identiteta i podataka kako se AI agenti sve brže uvode u poslovna okruženja.

Security

Microsoft CTI-REALM open-source benchmark za AI detekciju

Microsoft je predstavio CTI-REALM, open-source benchmark koji proverava da li AI agenti mogu da obavljaju stvaran detection engineering posao, od analize threat intelligence izveštaja do pravljenja i validacije detekcionih pravila. To je važno za SOC i bezbednosne timove jer pomera procenu AI alata sa teorijskog cyber znanja na merljive operativne rezultate u realnim okruženjima poput Linux endpointa, AKS-a i Azure infrastrukture.

Security

Microsoft Zero Trust za AI: radionica i arhitektura

Microsoft je predstavio smernice „Zero Trust for AI“ i proširio svoj Zero Trust Workshop namenskim AI stubom, kako bi organizacije lakše procenile i uvele bezbednosne kontrole za modele, agente, podatke i automatizovane odluke. Ovo je važno jer kompanijama daje strukturisan okvir za zaštitu od rizika kao što su prompt injection, data poisoning i preširoka ovlašćenja, uz bolju usklađenost bezbednosnih, IT i poslovnih timova.