Security

CrashFix Tarayıcı Çökme Tuzağı ve Python RAT Tehdidi

3 dk okuma

Özet

CrashFix, tarayıcıyı kasıtlı olarak çökme döngüsüne sokan sahte bir uzantı üzerinden kullanıcıyı kandırıp “düzeltme” bahanesiyle komut çalıştırmaya yönlendiren yeni bir sosyal mühendislik saldırısı olarak öne çıkıyor. Bu tehdit önemli çünkü istismarlardan çok kullanıcı kaynaklı yürütmeye, LOLBin’lere ve betik yüklerine dayanarak geleneksel imza tabanlı güvenlik çözümlerini aşabiliyor ve kurumlar için ciddi RAT bulaşma riski yaratıyor.

Security konusunda yardıma mı ihtiyacınız var?Bir uzmanla konuşun

Giriş

ClickFix, tarihsel olarak kullanıcıları saldırgan tarafından sağlanan komutları çalıştırmaya yönlendiren sosyal mühendisliğe dayanıyordu. Yeni CrashFix varyantı, önce kullanıcı deneyimini bozarak (tarayıcı DoS/çökme döngüsü) başarı oranını artırıyor; ardından mağdurların komutları bizzat çalıştırmasına yol açan bir “düzeltme” iş akışı sunuyor—istismarlara bağımlılığı azaltırken gizliliği artırıyor. IT ekipleri için bu, kullanıcı kaynaklı yürütme + LOLBin’ler + betik yükleri kombinasyonunun geleneksel yalnızca imza tabanlı savunmaları aşabileceğine dair pratik bir hatırlatma.

CrashFix’te yenilikler (temel davranışlar)

1) Gecikmeli sabotaj içeren kötü amaçlı uzantı

  • İlk erişim çoğu zaman, kullanıcının bir reklam engelleyici araması ve kötü amaçlı bir reklama tıklamasıyla başlar.
  • Kullanıcı, Chrome Web Store’a yönlendirilerek uBlock Origin Lite’ı taklit eden bir uzantıyı yükler; bu da sahte bir meşruiyet oluşturur.
  • Uzantı, tarayıcı sorunlarının daha sonra ortaya çıkması için gecikmeli yürütme kullanır; böylece kullanıcıların belirtileri uzantı yüklemesiyle ilişkilendirmesi zorlaşır.

2) Tarayıcı çökme döngüsü + sahte “CrashFix” istemi

  • Yük, sonsuz döngü üzerinden tarayıcıda hizmet reddi tetikler ve ardından sahte bir güvenlik uyarısı/pop-up gösterir.
  • Pop-up, kullanıcıyı komut çalıştırmaya (örneğin Windows Run üzerinden) ikna etmeye çalışır; kullanıcıyı yürütme mekanizmasına dönüştürür.

3) LOLBin kötüye kullanımı: finger.exe yeniden adlandırılıp yükleyici olarak kullanılıyor

  • Dikkat çeken bir değişiklik, meşru Windows yardımcı programı finger.exe’nin kötüye kullanılmasıdır; temp konumuna kopyalanıp yeniden adlandırılır (ör. ct.exe) ve böylece tespit edilmesi zorlaştırılır.
  • Yeniden adlandırılmış ikili dosya, dışarıya bağlantı kurarak ek yükleri kullanıcı profili konumlarına bırakan, gizlenmiş ve aşamalı bir PowerShell zincirini indirir.

4) Hedefleme mantığı: domain-joined sistemler arka kapıyı alıyor

  • PowerShell betiği ortam kontrolleri yapar (ör. cihazın domain-joined olup olmadığı) ve analiz araçlarını arar.
  • Daha yüksek değerli kurumsal koşullar tespit edildiğinde, taşınabilir bir WinPython dağıtımı ve bir Python RAT indirir (Microsoft buna ModeloRAT diyor).

5) Kalıcılık ve sonraki yükler

  • Kalıcılık, görünür izleri azaltmak için pythonw.exe kullanılarak HKCU\Software\Microsoft\Windows\CurrentVersion\Run üzerinden sağlanır.
  • Ek yük dağıtımı; bulut barındırmadan (ör. Dropbox) indirmeleri ve daha sonraki zincirlerde, Python yüklerini tekrar tekrar çalıştırmak için scheduled task kalıcılığını (ör. “SoftwareProtection” adlı görev) içerir.

IT yöneticileri ve son kullanıcılar üzerindeki etkiler

  • Son kullanıcılar, ani tarayıcı çökmeleri, tekrarlayan “güvenlik” pop-up’ları veya sorunu düzeltmek için komut çalıştırmalarını isteyen talimatlar bildirebilir.
  • Yöneticiler, web, endpoint ve identity katmanlarında davranışların bir karışımını görmeyi beklemelidir: şüpheli uzantı kurulumları, LOLBin çalıştırma kalıpları, PowerShell gizleme, kullanıcı alanına bırakılan Python yorumlayıcıları, yeni Run anahtarları ve şüpheli scheduled task’ler.
  • Kampanyanın domain-joined sistemlerde seçici dağıtımı, kurumsal erişimi önceliklendirme niyetine işaret eder.

Eylem maddeleri / sonraki adımlar

  • Hızla evrilen varyantları yakalamak için Microsoft Defender Antivirus cloud-delivered protection’ın (veya eşdeğerinin) etkin olduğundan emin olun.
  • Başka bir AV birincil olsa bile ihlal sonrası artefaktları engellemek için Microsoft Defender for Endpoint EDR in block mode’u etkinleştirin.
  • Tarayıcı uzantıları için kontrolleri gözden geçirip sıkılaştırın (allowlist’ler, uzantı yükleme kısıtlamaları ve yeni kurulumların izlenmesi).
  • Şüpheli desenler için avcılık yapın:
    • finger.exe’nin kopyalanması/yeniden adlandırılması (ör. ct.exe) ve beklenmeyen dış bağlantılar
    • İndirme etkinliği başlatan gizlenmiş PowerShell
    • pythonw.exe çağıran yeni HKCU Run girdileri
    • Dakikada birkaçı gibi aralıklarla betikler çalıştıran, masum görünen adlara sahip scheduled task’ler (ör. “SoftwareProtection”)
  • Kullanıcı yönlendirmesini güçlendirin: pop-up’lardaki “düzeltme” komutlarını asla çalıştırmayın; tarayıcı çökme döngülerini ve beklenmeyen uzantı istemlerini derhal bildirin.

Security konusunda yardıma mı ihtiyacınız var?

Uzmanlarımız Microsoft çözümlerinizi uygulamanıza ve optimize etmenize yardımcı olabilir.

Bir uzmanla konuşun

Microsoft teknolojileri hakkında güncel kalın

Microsoft Defender Security Research Team tarafından orijinal makaleyi oku
Microsoft Defender for EndpointClickFixsocial engineeringPowerShellPython RAT

İlgili Yazılar

Security

Trivy Supply Chain Compromise: Defender Guidance

Microsoft has published detection, investigation, and mitigation guidance for the March 2026 Trivy supply chain compromise that affected the Trivy binary and related GitHub Actions. The incident matters because it weaponized trusted CI/CD security tooling to steal credentials from build pipelines, cloud environments, and developer systems while appearing to run normally.

Security

AI Agent Governance: Aligning Intent for Security

Microsoft outlines a governance model for AI agents that aligns user, developer, role-based, and organizational intent. The framework helps enterprises keep agents useful, secure, and compliant by defining behavioral boundaries and a clear order of precedence when conflicts arise.

Security

Microsoft Defender Predictive Shielding Stops GPO Ransomware

Microsoft detailed a real-world ransomware case in which Defender’s predictive shielding detected malicious Group Policy Object abuse before encryption began. By hardening GPO propagation and disrupting compromised accounts, Defender blocked about 97% of attempted encryption activity and prevented any devices from being encrypted through the GPO delivery path.

Security

Microsoft Agentic AI Security Tools Unveiled at RSAC

At RSAC 2026, Microsoft introduced a broader security strategy for enterprise AI, led by Agent 365, a new control plane for governing and protecting AI agents that will reach general availability on May 1. The company also announced expanded AI risk visibility and identity protections across Defender, Entra, Purview, Intune, and new shadow AI detection tools, signaling that securing AI usage is becoming a core part of enterprise security operations as adoption accelerates.

Security

Microsoft CTI-REALM Benchmarks AI Detection Engineering

Microsoft has introduced CTI-REALM, an open-source benchmark designed to test whether AI agents can actually perform detection engineering tasks end to end, from interpreting threat intelligence reports to generating and refining KQL and Sigma detection rules. This matters because it gives security teams a more realistic way to evaluate AI for SOC operations, focusing on measurable operational outcomes across real environments instead of simple cybersecurity question answering.

Security

Microsoft Zero Trust for AI: Workshop and Architecture

Microsoft has introduced Zero Trust for AI guidance, adding an AI-focused pillar to its Zero Trust Workshop and expanding its assessment tool with new Data and Network pillars. The update matters because it gives enterprises a structured way to secure AI systems against risks like prompt injection, data poisoning, and excessive access while aligning security, IT, and business teams around nearly 700 controls.