I ricercatori di Huntress hanno individuato una nuova variante del famigerato attacco ClickFix. I cybercriminali hanno sfruttato un ad blocker fasullo, pubblicato sul Chrome Web Store, che causa il crash del browser e la successiva visualizzazione di un messaggio di errore. Se l’ignara vittima segue le istruzioni installerà il malware ModeloRAT sul computer.
CrashFix, variante di ClickFix
L’attacco sfrutta innanzitutto la tecnica del malvertising. Quando l’utente cerca un ad blocker su Google viene mostrato il link sponsorizzato all’estensione NexShield pubblicata sul Chrome Web Store (è stata eliminata il 14 gennaio). È in pratica un clone di uBlock Origin Lite (il suo codice sorgente è su GitHub). Nell’intestazione del codice viene falsamente attribuita a Raymond Hill, sviluppatore dell’ad blocker legittimo.
L’estensione per Chrome (può essere installata anche in Microsoft Edge) causa un DoS (Denial of Service) nel browser. In pratica esegue una specifica operazione in loop consumando tutte le risorse del computer (CPU e RAM) fino al crash di Chrome, da cui il nome CrashFix. L’utente deve quindi terminare il relativo processo nel Task Manager (Gestione attività).
Quando l’ignara vittima riapre il browser viene mostrato un pop-up che indica la presenza di un bug o un problema di sicurezza. È quindi necessario seguire le istruzioni per correggere il problema. Si tratta del classico attacco ClickFix. L’utente deve aprire la finestra Esegui di Windows, copiare il comando e premere Invio. Il comando non corregge nulla, ma scarica ed esegue ModeloRAT.
Il malware è un Remote Access Trojan scritto in Python che consente ai cybercriminali di accedere al computer, individuare i sistemi collegati alla rete interna, modificare il registro e installare altri payload. I cybercriminali usano diversi trucchi per evitare la rilevazione, tra cui un tempo di attesa di 60 minuti tra l’installazione di NexShield e l’esecuzione del malware.
Ti potrebbe interessare
20 gen 2026