CrashFix es una campaña de malware activa y altamente engañosa basada en navegadores que abusa de una extensión maliciosa de Google Chrome para bloquear deliberadamente los navegadores de los usuarios y someterlos a ingeniería social para que ejecuten comandos proporcionados por el atacante. En última instancia, la campaña distribuye un troyano de acceso remoto a Windows no documentado previamente, conocido como ModeloRAT. La actividad se ha atribuido a una operación de distribución de tráfico y corretaje de acceso rastreada como KongTuke, también conocida por alias como TAG-124 y 404 TDS. Esta campaña, documentada públicamente en enero de 2026 por Huntress, representa una evolución de los ataques del tipo ClickFix, que aprovechan la frustración de los usuarios y su confianza en plataformas legítimas para ejecutar ataques en sistemas corporativos.
La cadena de infección suele comenzar cuando un usuario busca un bloqueador de anuncios y recibe un anuncio malicioso que le redirige a una extensión troyanizada alojada en la tienda oficial Chrome Web Store. Una vez instalada, la extensión permanece inactiva durante aproximadamente una hora antes de activarse. A continuación, agota intencionadamente los recursos del navegador mediante una rutina de denegación de servicio, provocando que Chrome se bloquee o se cuelgue. Cuando el usuario fuerza el cierre y reinicia el navegador, aparece una falsa advertencia de seguridad de "CrashFix", alegando que el navegador se ha detenido de forma anormal y requiere un análisis. Se indica al usuario que abra el cuadro de diálogo Ejecutar de Windows y pegue un comando que la extensión ya ha colocado en el portapapeles. La ejecución de este comando inicia silenciosamente las siguientes etapas de la distribución del malware.
La extensión maliciosa de Chrome, distribuida bajo el nombre "NexShield - Advanced Web Guardian", era un clon casi idéntico del proyecto legítimo uBlock Origin Lite. Incluía atribuciones falsificadas al desarrollador original y referencias a un repositorio GitHub inexistente, lo que le daba credibilidad. Una vez instalada, la extensión generaba y transmitía un identificador único a la infraestructura controlada por el atacante mediante un dominio con errores tipográficos, lo que permitía a los operadores rastrear a las víctimas y los eventos del ciclo de vida de la extensión, como su instalación, actualización y eliminación. Para evitar sospechas, el comportamiento malicioso se retrasaba y sólo se activaba periódicamente. La extensión también implementaba técnicas antianálisis, como el bloqueo de la funcionalidad del botón derecho del ratón e impedía el uso de herramientas de desarrollador, lo que dificultaba la inspección.
El núcleo de la campaña es el propio mecanismo de CrashFix. La extensión abre deliberadamente un número excesivo de conexiones en tiempo de ejecución en un bucle cerrado, consumiendo CPU y memoria hasta que el navegador deja de responder. Antes de provocar el bloqueo, almacena localmente una marca de tiempo. Al reiniciar, la presencia de esta marca de tiempo hace que la extensión muestre la falsa advertencia de CrashFix. Esto crea un bucle autosostenible en el que cada reinicio forzado resulta en el mismo aviso engañoso, aumentando la probabilidad de que un usuario frustrado siga las instrucciones.
El comando pegado abusa de la utilidad legítima de Windows finger.exe, copiándola a una ubicación temporal y utilizándola como binario viviente para recuperar y ejecutar más instrucciones desde un servidor remoto. Esta técnica permite a los atacantes eludir los controles básicos de listas de aplicaciones permitidas y mezclarse con la actividad normal del sistema.
La posterior carga útil de PowerShell está fuertemente ofuscada mediante múltiples capas de codificación Base64 y operaciones XOR. Una vez descifrado, realiza exhaustivas comprobaciones antianálisis, buscando docenas de herramientas de depuración, indicadores de sandbox y artefactos de máquinas virtuales. Si se detectan estos indicadores, la ejecución se detiene inmediatamente.
Si la ejecución continúa, el malware realiza un perfil del entorno del host para determinar si el sistema está conectado a un dominio o es una estación de trabajo independiente. También enumera los productos antivirus instalados y envía esta información a la infraestructura de mando y control del atacante. Este paso de creación de perfiles determina qué carga útil se enviará a continuación.
En los sistemas unidos por dominios, la cadena de ataque culmina con el despliegue de ModeloRAT, un troyano de acceso remoto a Windows basado en Python y diseñado para entornos corporativos. ModeloRAT establece comunicaciones cifradas de comando y control utilizando RC4 e implementa la persistencia a través de una clave Run del registro que se hace pasar por un servicio de supervisión legítimo. Proporciona a los atacantes la capacidad de ejecutar binarios, DLL, scripts de Python y comandos de PowerShell de forma remota, lo que les otorga un control total sobre el host comprometido.
ModeloRAT también emplea una lógica de balizamiento adaptable para eludir la detección. En condiciones normales, se comunica a intervalos moderados, pero puede cambiar a un sondeo rápido durante las tareas activas o retroceder significativamente después de repetidos fallos de comunicación. Este comportamiento indica un ajuste deliberado para la ocultación en redes empresariales.
Curiosamente, los sistemas autónomos que no están unidos a un dominio se enrutan a través de una ruta de infección alternativa que, en el momento del análisis, terminaba con una respuesta de carga útil de prueba. Esto sugiere que la campaña está muy centrada en entornos corporativos, y que los sistemas que no están unidos a un dominio no son prioritarios o se reservan para futuros desarrollos.
Las organizaciones deben tratar las extensiones de navegador como código ejecutable y aplicarles el mismo nivel de escrutinio que al software tradicional. Deben utilizarse controles empresariales para restringir qué extensiones pueden instalarse, y deben realizarse auditorías periódicas para identificar complementos no autorizados o sospechosos. Cualquier extensión que se haga pasar por proyectos conocidos o que muestre una comunicación de red inesperada debe tratarse como potencialmente maliciosa.
La concienciación de los usuarios es fundamental para defenderse de los ataques del tipo CrashFix. Los empleados deben recibir formación explícita sobre el hecho de que el software de seguridad y los navegadores legítimos nunca les indicarán que peguen comandos en el cuadro de diálogo Ejecutar de Windows o en PowerShell como parte de un proceso de recuperación de fallos. Las caídas repetidas del navegador acompañadas de advertencias de seguridad deben notificarse inmediatamente en lugar de actuar en consecuencia.
Desde el punto de vista de la detección, los equipos de seguridad deben vigilar la ejecución inusual de finger.exe y otros binarios vivos, especialmente cuando se lanzan desde contextos de usuario o directorios temporales. La actividad ofuscada de PowerShell, los patrones de ejecución basados en el portapapeles y los tiempos de ejecución inesperados de Python que aparecen en los puntos finales deben tratarse como indicadores de alta fidelidad de compromiso.
Las defensas de red deben configurarse para bloquear la infraestructura maliciosa conocida asociada a la campaña y alertar sobre el tráfico saliente anómalo procedente de motores de secuencias de comandos o procesos recién generados. Dado que la campaña se dirige a sistemas unidos por dominios para el despliegue completo de RAT, cualquier infección confirmada debe tratarse como una brecha grave, con contención inmediata, acciones de higiene de credenciales e investigación del movimiento lateral.
Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente, póngase en contacto para averiguar cómo puede proteger su organización.