CrashFix är en aktiv och mycket vilseledande webbläsarbaserad skadlig kampanj som missbrukar ett skadligt Google Chrome-tillägg för att avsiktligt krascha användarnas webbläsare och socialt manipulera dem att utföra angripare-levererade kommandon. Kampanjen levererar i slutändan en tidigare odokumenterad Windows fjärråtkomst trojan som kallas ModeloRAT. Aktiviteten har tillskrivits en trafikdistributions- och åtkomstförmedlingsoperation som spåras som KongTuke, även känd under alias som TAG-124 och 404 TDS. Denna kampanj dokumenterades offentligt i januari 2026 av Huntress och representerar en utveckling av ClickFix-stilattacker, som utnyttjar användarnas frustration och förtroende för legitima plattformar för att få körning på företagssystem.

Attacköversikt och infektionskedja

Infektionskedjan börjar vanligtvis när en användare söker efter en annonsblockerare och serveras en skadlig annons som omdirigerar dem till ett trojaniserat tillägg som är värd för den officiella Chrome Web Store. Efter installationen förblir tillägget vilande i ungefär en timme innan det aktiveras. Det utnyttjar sedan avsiktligt webbläsarens resurser genom en denial-of-service-rutin, vilket får Chrome att frysa eller krascha. När användaren tvångsavslutar och startar om webbläsaren visas en falsk "CrashFix" säkerhetsvarning som hävdar att webbläsaren stannade onormalt och kräver en skanning. Användaren instrueras att öppna Windows Run-dialogrutan och klistra in ett kommando, som tillägget redan har placerat i urklippet. Genom att utföra detta kommando initieras tyst nästa steg i leveransen av skadlig programvara.

Skadligt tilläggsbeteende

Det skadliga Chrome-tillägget, som distribuerades under namnet "NexShield - Advanced Web Guardian", var en nästan identisk klon av det legitima uBlock Origin Lite-projektet. Det inkluderade förfalskad tillskrivning till den ursprungliga utvecklaren och referenser till ett obefintligt GitHub-arkiv, vilket gav det trovärdighet. När tillägget väl var installerat genererade och överförde det en unik identifierare till en infrastruktur som kontrollerades av angriparen med hjälp av en domän med ett stavfel, vilket gjorde det möjligt för operatörer att spåra offer och livscykelhändelser för tillägget, till exempel installation, uppdateringar och borttagning. För att undvika misstankar fördröjdes det skadliga beteendet och utlöstes endast periodiskt. Tillägget implementerade också anti-analystekniker, inklusive blockering av högerklickfunktionalitet och förhindrande av användning av utvecklarverktyg, vilket gjorde inspektionen svårare.

CrashFix teknik för social ingenjörskonst

Kärnan i kampanjen är själva CrashFix-mekanismen. Tillägget öppnar avsiktligt ett överdrivet antal runtime-anslutningar i en tät slinga och förbrukar CPU och minne tills webbläsaren inte svarar. Innan kraschen utlöses lagrar den en tidsstämpel lokalt. Vid omstart gör närvaron av denna tidsstämpel att tillägget visar den falska CrashFix-varningen. Detta skapar en självunderhållande slinga där varje påtvingad omstart resulterar i samma vilseledande uppmaning, vilket ökar sannolikheten för att en frustrerad användare följer instruktionerna.

Det inklistrade kommandot missbrukar det legitima Windows-verktyget finger.exe, kopierar det till en tillfällig plats och använder det som en levande binär för att hämta och utföra ytterligare instruktioner från en fjärrserver. Denna teknik gör det möjligt för angriparna att kringgå grundläggande kontroller för tillståndslistning av applikationer och smälta in i normal systemaktivitet.

Exekvering av nyttolast och miljöprofilering

Den efterföljande PowerShell-nyttolasten är kraftigt fördunklad med flera lager av Base64-kodning och XOR-operationer. När den har dekrypterats utför den omfattande anti-analyskontroller och söker efter dussintals felsökningsverktyg, sandlådeindikatorer och artefakter från virtuella maskiner. Om sådana indikatorer upptäcks stoppas exekveringen omedelbart.

Om körningen fortsätter profilerar den skadliga programvaran värdmiljön för att avgöra om systemet är domänanslutet eller en fristående arbetsstation. Den räknar också upp installerade antivirusprodukter och rapporterar denna information tillbaka till angriparens kommando- och kontrollinfrastruktur. Detta profileringssteg avgör vilken nyttolast som levereras härnäst.

ModeloRAT-distribution och kapacitet

På domänanslutna system kulminerar attackkedjan i distributionen av ModeloRAT, en Python-baserad Windows-fjärråtkomsttrojan som är utformad för företagsmiljöer. ModeloRAT upprättar krypterad kommando- och kontrollkommunikation med RC4 och implementerar uthållighet genom en registerkörningsnyckel som maskeras som en legitim övervakningstjänst. Det ger angripare möjlighet att köra binärfiler, DLL-filer, Python-skript och PowerShell-kommandon på distans, vilket ger full kontroll över den komprometterade värden.

ModeloRAT använder också adaptiv logik för att undvika upptäckt. Under normala förhållanden kommunicerar den med måttliga intervall, men den kan växla till snabb pollning under aktiv uppgift eller backa avsevärt efter upprepade kommunikationsfel. Detta beteende tyder på en avsiktlig inställning för smygande i företagsnätverk.

Intressant nog dirigeras fristående system som inte är domänanslutna genom en alternativ infektionsväg som vid tidpunkten för analysen avslutades med ett svar från testnyttolasten. Detta tyder på att kampanjen är starkt fokuserad på företagsmiljöer, där system som inte är domänanslutna antingen nedprioriteras eller reserveras för framtida utveckling.

Vad du bör göra

Organisationer bör behandla webbläsartillägg som körbar kod och tillämpa samma granskningsnivå som traditionell programvara. Företagskontroller bör användas för att begränsa vilka tillägg som kan installeras, och regelbundna granskningar bör utföras för att identifiera obehöriga eller misstänkta tillägg. Alla tillägg som utger sig för att vara välkända projekt eller uppvisar oväntad nätverkskommunikation bör behandlas som potentiellt skadliga.

Användarnas medvetenhet är avgörande för att försvara sig mot attacker av CrashFix-typ. Anställda måste uttryckligen utbildas i att legitima säkerhetsprogram och webbläsare aldrig kommer att instruera dem att klistra in kommandon i Windows Run-dialogrutan eller PowerShell som en del av en kraschåterställningsprocess. Upprepade webbläsarkrascher som åtföljs av säkerhetsvarningar bör rapporteras omedelbart snarare än att agera på.

Ur upptäcktssynpunkt bör säkerhetsteam övervaka ovanligt utförande av finger.exe och andra binära filer som lever utanför landet, särskilt när de startas från användarkontexter eller tillfälliga kataloger. Fördunklad PowerShell-aktivitet, klippbordsbaserade exekveringsmönster och oväntade Python-körtider som visas på slutpunkter bör alla behandlas som indikatorer på kompromisser.

Nätverksförsvar bör konfigureras för att blockera känd skadlig infrastruktur som är associerad med kampanjen och för att varna för avvikande utgående trafik från skriptmotorer eller nyligen skapade processer. Eftersom kampanjen riktar sig mot domänanslutna system för fullständig RAT-distribution, bör varje bekräftad infektion hanteras som ett allvarligt intrång, med omedelbar inneslutning, åtgärder för legitimationshygien och undersökning av lateral rörelse.

Om du är orolig för något av de hot som beskrivs i den här bulletinen eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, vänligen kontakta din kontoansvarige, eller alternativt kontaktaoss för att ta reda på hur du kan skydda din organisation.