I ricercatori di Microsoft hanno scoperto una variante dell’attacco ClickFix che manda in crash il browser, quindi è stata denominata CrashFix. L’utente viene ingannato dal problema software e segue le istruzioni dei cybercriminali. Viene così installato un malware che permette l’accesso remoto al computer.
Descrizione dell’attacco CrashFix
L’attacco inizia quando l’utente cerca un ad blocker e tra i risultati c’è un link sponsorizzato che punta al Chrome Web Store. Essendo una fonte nota, l’ignara vittima scarica e installa un’estensione che sembra uBlock Origin Lite. Per evitare di essere rilevata, l’estensione sfrutta la tecnica dell’esecuzione ritardata.
Dopo un determinato periodo di tempo manda in crash Chrome attraverso un loop infinito di azioni (simile ad un attacco DoS). A causa dell’esecuzione ritardata, l’utente non associa il problema software all’estensione scaricata. Viene quindi mostrata una schermata con le istruzioni da seguire per “riparare” il browser.
L’utente deve aprire la finestra Esegui (Win + R) e premere la combinazione Ctrl + V, seguita da Invio. Viene così eseguito uno script PowerShell che scarica l’ambiente Python completo e il file modes.py, ovvero il malware Python ModeloRAT.
Il payload viene scaricato con l’utility finger.exe di Windows (recupera le informazioni sugli utenti da computer remoti), copiata nella directory temporanea e rinominata come ct.exe. Ciò evita la rilevazione durante l’analisi di sicurezza.
ModeloRAT stabilisce una connessione al server dei cybercriminali, consentendo l’accesso remoto. Per stabilire la persistenza (esecuzione automatica all’avvio) viene aggiunta una chiave nel registro di Windows. Successivamente scarica un altro payload Python che viene eseguito ogni 5 minuti tramite attività pianificata.
Microsoft consiglia una serie di misure per identificare e bloccare il malware, tra cui l’uso della protezione cloud di Defender Antivirus o altre soluzioni che possono rilevare i nuovi malware.
Ti potrebbe interessare
8 feb 2026