Security

CrashFix malware: webbläsarkrasch och Python-RAT

3 min läsning

Sammanfattning

CrashFix är en ny variant av ClickFix som först orsakar en webbläsarkrasch via ett skadligt Chrome-tillägg och därefter visar en falsk "fix"-prompt som lurar användaren att själv köra skadliga kommandon. Det är viktigt eftersom metoden kombinerar social engineering, fördröjd sabotage och legitima systemverktyg för att kringgå traditionella signaturbaserade skydd och öka risken för fjärrstyrning via Python-baserad RAT.

Behöver du hjälp med Security?Prata med en expert

Introduktion

ClickFix har historiskt förlitat sig på social engineering för att få användare att köra kommandon som angriparen tillhandahåller. Den nya varianten CrashFix ökar träffsäkerheten genom att först störa användarupplevelsen (webbläsar-DoS/kraschloop) och därefter presentera ett ”fix”-flöde som leder till att offren själva kör kommandon—vilket minskar beroendet av exploits samtidigt som smygförmågan ökar. För IT-team är detta en praktisk påminnelse om att användardriven exekvering + LOLBins + script-payloads kan kringgå traditionella försvar som enbart bygger på signaturer.

Vad är nytt i CrashFix (nyckelbeteenden)

1) Skadligt tillägg med fördröjd sabotage

  • Initial åtkomst börjar ofta med att en användare söker efter en annonsblockerare och klickar på en skadlig annons.
  • Användaren omdirigeras till Chrome Web Store för att installera ett tillägg som utger sig för att vara uBlock Origin Lite, vilket skapar falsk legitimitet.
  • Tillägget använder fördröjd exekvering så att webbläsarproblem uppstår senare, vilket gör det svårare för användare att koppla symptomen till installationen av tillägget.

2) Webbläsarkraschloop + falsk ”CrashFix”-prompt

  • Payloaden utlöser en denial-of-service i webbläsaren via en oändlig loop, och visar sedan en falsk säkerhetsvarning/pop-up.
  • Pop-upen försöker övertyga användaren att exekvera kommandon (till exempel via Windows Run), vilket gör användaren till exekveringsmekanismen.

3) LOLBin-missbruk: finger.exe byter namn och används som loader

  • En tydlig förändring är missbruk av det legitima Windows-verktyget finger.exe, som kopieras till en temp-plats och byter namn (t.ex. ct.exe) för att försvåra detektion.
  • Den omdöpta binären gör utgående anslutningar för att hämta en obfuskerad, stegvis PowerShell-kedja som släpper ytterligare payloads i användarprofilens platser.

4) Mållogik: domain-joined-system får bakdörren

  • PowerShell-scriptet gör miljökontroller (t.ex. om enheten är domain-joined) och letar efter analystverktyg.
  • När mer värdefulla företagsförhållanden upptäcks laddar det ned en portabel WinPython-distribution och en Python RAT (Microsoft refererar till den som ModeloRAT).

5) Persistens och efterföljande payloads

  • Persistens etableras via HKCU\Software\Microsoft\Windows\CurrentVersion\Run med pythonw.exe för att minimera synliga artefakter.
  • Ytterligare payload-leverans inkluderar nedladdningar från molnhosting (t.ex. Dropbox) och, i senare kedjor, persistens via schemalagd aktivitet (t.ex. en aktivitet med namnet ”SoftwareProtection”) för att köra Python-payloads upprepade gånger.

Påverkan på IT-administratörer och slutanvändare

  • Slutanvändare kan rapportera plötsliga webbläsarkrascher, upprepade ”säkerhets”-pop-ups eller instruktioner som säger att de ska köra kommandon för att åtgärda problemet.
  • Administratörer bör förvänta sig en blandning av beteenden över webb, endpoint och identity: misstänkta tilläggsinstallationer, LOLBin-exekveringsmönster, PowerShell-obfuskering, Python-interpreters som släpps i användarutrymme, nya Run-nycklar och misstänkta schemalagda aktiviteter.
  • Kampanjens selektiva distribution på domain-joined systems indikerar en avsikt att prioritera åtkomst till företag.

Åtgärder / nästa steg

  • Säkerställ att Microsoft Defender Antivirus cloud-delivered protection är aktiverat (eller motsvarande) för att fånga snabbt föränderliga varianter.
  • Aktivera Microsoft Defender for Endpoint EDR in block mode för att blockera post-breach-artefakter även när ett annat AV är primärt.
  • Granska och skärp kontroller för webbläsartillägg (allowlists, restriktioner för tilläggsinstallation och övervakning av nya installationer).
  • Jaga efter misstänkta mönster:
    • finger.exe kopierad/omdöpt (t.ex. ct.exe) och oväntade utgående anslutningar
    • Obfuskerad PowerShell som startar nedladdningsaktivitet
    • Nya HKCU Run-poster som anropar pythonw.exe
    • Schemalagda aktiviteter med harmlöst klingande namn (t.ex. ”SoftwareProtection”) som exekverar script varannan minut
  • Förstärk användarvägledning: kör aldrig ”fix”-kommandon från pop-ups; rapportera webbläsarkraschloopar och oväntade tilläggsprompter omedelbart.

Behöver du hjälp med Security?

Våra experter kan hjälpa dig att implementera och optimera dina Microsoft-lösningar.

Prata med en expert

Håll dig uppdaterad om Microsoft-teknologier

Läs originalartikeln av Microsoft Defender Security Research Team
Microsoft Defender for EndpointClickFixsocial engineeringPowerShellPython RAT

Relaterade inlägg

Security

Trivy Supply Chain Compromise: Defender Guidance

Microsoft has published detection, investigation, and mitigation guidance for the March 2026 Trivy supply chain compromise that affected the Trivy binary and related GitHub Actions. The incident matters because it weaponized trusted CI/CD security tooling to steal credentials from build pipelines, cloud environments, and developer systems while appearing to run normally.

Security

AI Agent Governance: Aligning Intent for Security

Microsoft outlines a governance model for AI agents that aligns user, developer, role-based, and organizational intent. The framework helps enterprises keep agents useful, secure, and compliant by defining behavioral boundaries and a clear order of precedence when conflicts arise.

Security

Microsoft Defender Predictive Shielding Stops GPO Ransomware

Microsoft detailed a real-world ransomware case in which Defender’s predictive shielding detected malicious Group Policy Object abuse before encryption began. By hardening GPO propagation and disrupting compromised accounts, Defender blocked about 97% of attempted encryption activity and prevented any devices from being encrypted through the GPO delivery path.

Security

Microsoft Agentic AI Security Tools Unveiled at RSAC

At RSAC 2026, Microsoft introduced a broader security strategy for enterprise AI, led by Agent 365, a new control plane for governing and protecting AI agents that will reach general availability on May 1. The company also announced expanded AI risk visibility and identity protections across Defender, Entra, Purview, Intune, and new shadow AI detection tools, signaling that securing AI usage is becoming a core part of enterprise security operations as adoption accelerates.

Security

Microsoft CTI-REALM Benchmarks AI Detection Engineering

Microsoft has introduced CTI-REALM, an open-source benchmark designed to test whether AI agents can actually perform detection engineering tasks end to end, from interpreting threat intelligence reports to generating and refining KQL and Sigma detection rules. This matters because it gives security teams a more realistic way to evaluate AI for SOC operations, focusing on measurable operational outcomes across real environments instead of simple cybersecurity question answering.

Security

Microsoft Zero Trust for AI: Workshop and Architecture

Microsoft has introduced Zero Trust for AI guidance, adding an AI-focused pillar to its Zero Trust Workshop and expanding its assessment tool with new Data and Network pillars. The update matters because it gives enterprises a structured way to secure AI systems against risks like prompt injection, data poisoning, and excessive access while aligning security, IT, and business teams around nearly 700 controls.