CrashFix è una campagna di malware attiva e altamente ingannevole basata su browser che sfrutta un'estensione dannosa di Google Chrome per mandare deliberatamente in crash i browser degli utenti e per indurli a eseguire i comandi forniti dall'aggressore. La campagna fornisce infine un trojan per l'accesso remoto a Windows, precedentemente non documentato, noto come ModeloRAT. L'attività è stata attribuita a un'operazione di distribuzione del traffico e di intermediazione degli accessi, identificata con il nome di KongTuke, noto anche con pseudonimi quali TAG-124 e 404 TDS. Documentata pubblicamente nel gennaio 2026 da Huntress, questa campagna rappresenta un'evoluzione degli attacchi in stile ClickFix, che sfruttano la frustrazione degli utenti e la fiducia nelle piattaforme legittime per ottenere l'esecuzione sui sistemi aziendali.

Panoramica dell'attacco e catena di infezione

La catena di infezione inizia tipicamente quando un utente cerca un blocco degli annunci e riceve una pubblicità dannosa che lo reindirizza a un'estensione troianizzata ospitata sul Chrome Web Store ufficiale. Dopo l'installazione, l'estensione rimane inattiva per circa un'ora prima di attivarsi. Quindi esaurisce intenzionalmente le risorse del browser attraverso una routine di negazione del servizio, causando il blocco o l'arresto anomalo di Chrome. Quando l'utente chiude e riavvia il browser, appare un falso avviso di sicurezza "CrashFix", che sostiene che il browser si è arrestato in modo anomalo e richiede una scansione. All'utente viene chiesto di aprire la finestra di dialogo Esegui di Windows e di incollare un comando che l'estensione ha già inserito negli appunti. L'esecuzione di questo comando avvia silenziosamente le fasi successive della distribuzione del malware.

Comportamento dell'estensione dannosa

L'estensione Chrome dannosa, distribuita con il nome di "NexShield - Advanced Web Guardian", era un clone quasi identico del progetto legittimo uBlock Origin Lite. Includeva attribuzioni falsificate allo sviluppatore originale e riferimenti a un repository GitHub inesistente, che gli conferivano credibilità. L'estensione è stata scaricata migliaia di volte prima di essere rimossa dal Chrome Web Store. Una volta installata, l'estensione generava e trasmetteva un identificatore univoco all'infrastruttura controllata dall'aggressore utilizzando un dominio con un refuso, consentendo agli operatori di tracciare le vittime e gli eventi del ciclo di vita dell'estensione, come l'installazione, gli aggiornamenti e la rimozione. Per eludere i sospetti, il comportamento dannoso era ritardato e si attivava solo periodicamente. L'estensione ha anche implementato tecniche di anti-analisi, tra cui il blocco della funzionalità del clic destro e l'impedimento dell'uso di strumenti per sviluppatori, rendendo più difficile l'ispezione.

Tecnica di ingegneria sociale di CrashFix

Il cuore della campagna è il meccanismo stesso di CrashFix. L'estensione apre deliberatamente un numero eccessivo di connessioni runtime in un ciclo stretto, consumando CPU e memoria fino a quando il browser non risponde più. Prima di innescare il crash, memorizza localmente un timestamp. Al riavvio, la presenza di questo timestamp fa sì che l'estensione visualizzi il falso avviso CrashFix. In questo modo si crea un ciclo che si autoalimenta, in cui ogni riavvio forzato produce la stessa richiesta ingannevole, aumentando la probabilità che un utente frustrato segua le istruzioni.

Il comando incollato abusa dell'utilità legittima di Windows finger.exe, copiandola in una posizione temporanea e utilizzandola come un binario vivente per recuperare ed eseguire ulteriori istruzioni da un server remoto. Questa tecnica consente agli aggressori di eludere i controlli di base per l'inserimento delle applicazioni e di confondersi con la normale attività del sistema.

Esecuzione del payload e profilazione dell'ambiente

Il successivo payload PowerShell è pesantemente offuscato utilizzando più livelli di codifica Base64 e operazioni XOR. Una volta decriptato, esegue controlli anti-analisi approfonditi, scansionando decine di strumenti di debug, indicatori di sandbox e artefatti di macchine virtuali. Se vengono rilevati tali indicatori, l'esecuzione si arresta immediatamente.

Se l'esecuzione continua, il malware profila l'ambiente host per determinare se il sistema è collegato a un dominio o è una workstation indipendente. Inoltre, enumera i prodotti antivirus installati e riporta queste informazioni all'infrastruttura di comando e controllo dell'aggressore. Questa fase di profilazione determina il carico utile successivo.

Distribuzione e capacità di ModeloRAT

Sui sistemi collegati al dominio, la catena di attacco culmina con la distribuzione di ModeloRAT, un trojan di accesso remoto a Windows basato su Python e progettato per gli ambienti aziendali. ModeloRAT stabilisce comunicazioni di comando e controllo crittografate utilizzando RC4 e implementa la persistenza attraverso una chiave di registro Run mascherata da un servizio di monitoraggio legittimo. Fornisce agli aggressori la capacità di eseguire binari, DLL, script Python e comandi PowerShell da remoto, garantendo di fatto il pieno controllo dell'host compromesso.

ModeloRAT impiega anche una logica di beaconing adattiva per eludere il rilevamento. In condizioni normali comunica a intervalli moderati, ma può passare a un polling rapido durante l'esecuzione di compiti attivi o diminuire significativamente dopo ripetuti fallimenti della comunicazione. Questo comportamento indica una messa a punto deliberata per la segretezza nelle reti aziendali.

È interessante notare che i sistemi autonomi non collegati al dominio vengono instradati attraverso un percorso di infezione alternativo che, al momento dell'analisi, terminava con una risposta al payload di prova. Ciò suggerisce che la campagna è fortemente incentrata sugli ambienti aziendali e che i sistemi non legati al dominio sono stati privati della priorità o sono stati riservati per lo sviluppo futuro.

Cosa fare

Le organizzazioni devono trattare le estensioni del browser come codice eseguibile e applicare lo stesso livello di controllo del software tradizionale. I controlli aziendali devono essere utilizzati per limitare le estensioni che possono essere installate, con verifiche regolari per identificare i componenti aggiuntivi non autorizzati o sospetti. Qualsiasi estensione che impersoni progetti noti o che mostri comunicazioni di rete inaspettate deve essere considerata potenzialmente dannosa.

La consapevolezza degli utenti è fondamentale per difendersi dagli attacchi di tipo CrashFix. I dipendenti devono essere istruiti in modo esplicito sul fatto che i software di sicurezza e i browser legittimi non li istruiranno mai a incollare comandi nella finestra di dialogo Esegui di Windows o in PowerShell come parte di un processo di ripristino degli arresti anomali. Gli arresti anomali ripetuti del browser accompagnati da avvisi di sicurezza devono essere segnalati immediatamente piuttosto che agire.

Dal punto di vista del rilevamento, i team di sicurezza dovrebbero monitorare l'esecuzione insolita di finger.exe e di altri file binari "living-off-the-land", in particolare se lanciati da contesti utente o directory temporanee. Attività PowerShell offuscate, modelli di esecuzione basati sugli appunti e runtime Python inaspettati che appaiono sugli endpoint devono essere trattati come indicatori ad alta fedeltà di compromissione.

Le difese di rete devono essere configurate per bloccare le infrastrutture dannose note associate alla campagna e per avvisare del traffico anomalo in uscita da motori di scripting o processi appena generati. Poiché la campagna mira a sistemi collegati a domini per la distribuzione completa di RAT, qualsiasi infezione confermata deve essere gestita come una grave violazione, con contenimento immediato, azioni di igiene delle credenziali e indagini per il movimento laterale.

IR CTA

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più importanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa, mettetevi in contatto per scoprire come potete proteggere la vostra organizzazione.

Contact Us