CrashFix 攻击：浏览器崩溃诱饵与 Python RAT

引言

ClickFix 过去主要依赖社会工程来诱使用户执行攻击者提供的命令。新的 CrashFix 变体通过先 破坏用户体验（浏览器 DoS/崩溃循环），再呈现一个“修复”流程，诱导受害者自行运行命令，从而提高成功率——在降低对漏洞利用依赖的同时提升隐蔽性。对 IT 团队而言，这是一个实际提醒：用户驱动的执行 + LOLBins + 脚本载荷 组合，可能绕过仅依赖特征码的传统防护。

CrashFix 有哪些新变化（关键行为）

1) 带延迟破坏的恶意扩展

• 初始访问通常始于用户搜索广告拦截器并点击恶意广告。
• 用户会被重定向至 Chrome Web Store 安装一个冒充 uBlock Origin Lite 的扩展，制造“可信”假象。
• 该扩展采用 延迟执行，使浏览器问题在更晚发生，增加用户将症状与扩展安装关联起来的难度。

2) 浏览器崩溃循环 + 伪造的“CrashFix”提示

• 载荷通过 无限循环 触发浏览器拒绝服务，然后显示 伪造的安全警告/弹窗。
• 弹窗试图说服用户执行命令（例如通过 Windows 运行），让用户本身成为执行机制。

3) 滥用 LOLBin：重命名 finger.exe 并作为加载器使用

• 一个显著变化是滥用合法的 Windows 工具 finger.exe：将其复制到临时目录并重命名（例如 ct.exe），以降低被检测的概率。
• 该重命名后的二进制会向外连接以获取混淆后的分阶段 PowerShell 链，并将后续载荷投递到用户配置文件路径下。

4) 目标筛选逻辑：已加入域的系统会被植入后门

• PowerShell 脚本会执行环境检查（例如设备是否 domain-joined），并查找分析工具。
• 当检测到更高价值的企业环境条件时，会下载 可携式 WinPython 发行版 以及一个 Python RAT（Microsoft 将其称为 ModeloRAT）。

5) 持久化与后续载荷

• 通过 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 建立持久化，并使用 pythonw.exe 以减少可见痕迹。
• 额外载荷投递包括从云托管位置（例如 Dropbox）下载；在后续链路中，还会使用计划任务持久化（例如名为 “SoftwareProtection” 的任务）来反复执行 Python 载荷。

对 IT 管理员与终端用户的影响

• 终端用户 可能会反馈浏览器突然崩溃、反复出现“安全”弹窗，或弹窗指示其运行命令以修复问题。
• 管理员 应预期在 Web、终端与身份层面出现混合行为：可疑扩展安装、LOLBin 执行模式、PowerShell 混淆、在用户空间投放的 Python 解释器、新增 Run 键，以及可疑的计划任务。
• 该活动对 domain-joined systems 的选择性部署表明其意图优先获取企业访问。

行动项 / 下一步

• 确保启用 Microsoft Defender Antivirus cloud-delivered protection（或同等能力），以捕获快速演进的变体。
• 启用 Microsoft Defender for Endpoint EDR in block mode，即使主用 AV 为其他产品，也能阻止入侵后的相关工件。
• 审查并收紧 浏览器扩展 控制（允许列表、扩展安装限制，以及对新增安装的监控）。
• 针对可疑模式开展狩猎：
  • finger.exe 被复制/重命名（例如 ct.exe）以及异常的对外连接
  • 混淆的 PowerShell 触发下载活动
  • 新增调用 pythonw.exe 的 HKCU Run 条目
  • 名称看似正常（例如“SoftwareProtection”）但每隔几分钟执行脚本的计划任务
• 强化用户指引：切勿从弹窗中运行所谓“修复”命令；一旦出现浏览器崩溃循环或异常扩展提示，应立即上报。