NexShield: Browser-Crash als Einfallstor für neue Malware-Welle

Eine raffinierte Schadsoftware zielt gezielt auf Unternehmen ab – und nutzt den Frust der Nutzer über abgestürzte Browser als perfides Einfallstor. Die als „CrashFix“ bekannte Kampagne zwingt Anwender durch einen gezielten Denial-of-Service-Angriff gegen ihren eigenen Webbrowser zur Installation eines Remote-Access-Trojaners (RAT). Sicherheitsforscher warnen vor dieser neuen Eskalation von Social-Engineering-Attacken.

Im Zentrum der Attacke steht eine bösartige Google-Chrome-Erweiterung namens „NexShield Advanced Web Protection“. Sie tarnt sich als legitimes Datenschutz-Tool und kopiert dabei täuschend echt das Erscheinungsbild des beliebten Open-Source-Werbeblockers „uBlock Origin Lite“. Verbreitet wird sie über manipulierte Werbeanzeigen und gefälschte Download-Seiten in Suchergebnissen.

Die Taktik ist hinterhältig: Nach der Installation wartet die Erweiterung etwa eine Stunde, um keinen Verdacht zu erregen. Dann schlägt sie zu. Ein Schadcode versucht, eine Milliarde Runtime-Port-Verbindungen aufzubauen – und überlastet damit gezielt CPU und Arbeitsspeicher. Das Ergebnis: Der Browser friert ein und stürzt unweigerlich ab.

Passend zum Thema Unternehmensschutz — Studien zeigen, dass 73% der deutschen Unternehmen nicht ausreichend gegen Cyberangriffe gewappnet sind. Das kostenlose E‑Book „Cyber Security Awareness Trends“ fasst aktuelle Bedrohungen wie bösartige Browser-Erweiterungen, Social‑Engineering-Angriffe und Backdoors kompakt zusammen und liefert pragmatische Schutzmaßnahmen, die IT‑Verantwortliche sofort umsetzen können — von Allow‑Listing bis zu Mitarbeitersensibilisierung. Mit praxisnaher Checkliste für kleine und mittlere Unternehmen. Jetzt kostenlosen Cyber-Security-Report herunterladen

Social Engineering durch gezielte Frustration

Hier setzt die eigentliche Innovation der Angreifer an. Sie manipulieren die natürliche Reaktion des verärgerten Nutzers. Startet dieser den Browser neu, erscheint ein gefälschtes Pop-up-Fenster. Es sieht aus wie ein hilfreiches System-Tool und behauptet, der Browser sei „abnormal beendet“ worden. Als Lösung bietet es einen „CrashFix“ an.

Doch der „Scan“ oder die „Problembehebung“ ist eine Falle. Die Anleitung fordert den Nutzer auf, den Windows-Ausführen-Dialog zu öffnen und einen Befehl einzufügen. Unbemerkt hat die Schad-Erweiterung bereits ein komplexes PowerShell-Skript in die Zwischenablage kopiert. Wer den Befehl ausführt, lädt sich keinen Fix, sondern die Schadsoftware herunter.

Gezielter Angriff auf Firmennetze mit „ModeloRAT“

Die heruntergeladene Payload ist ein bisher unbekannter, Python-basierter Backdoor namens „ModeloRAT“. Die Analyse durch das Sicherheitsunternehmen Huntress zeigt: Die Angreifer, die unter dem Namen „KongTuke“ firmieren, haben es gezielt auf Unternehmen abgesehen.

Das Installationsskript prüft, ob der infizierte Rechner Teil einer Unternehmens-Domäne ist. Nur dann wird die volle ModeloRAT-Payload installiert. Sie verschafft den Cyberkriminellen dauerhaften Fernzugriff, ermöglicht den Diebstahl von Dateien, die Ausführung von Befehlen und die Bewegung innerhalb des Firmennetzwerks. Private Systeme ohne Domänen-Anbindung erhalten die Haupt-Schadsoftware offenbar nicht – ein klares Zeichen für die strategische Ausrichtung auf lukrative Unternehmensziele.

Wie sich Unternehmen schützen können

Die Entdeckung von CrashFix unterstreicht die wachsende Gefahr durch bösartige Browser-Erweiterungen. Sie ermöglichen es Angreifern, traditionelle Perimeter-Abwehrmaßnahmen zu umgehen. IT-Administratoren sollten daher die Installation von Erweiterungen in Unternehmensumgebungen strikt reglementieren und auf eine Positivliste (Allow-List) geprüfter Anwendungen beschränken.

Ein weiterer kritischer Punkt ist die Ausnutzung des legitimen Windows-Tools finger.exe durch die Angreifer. In modernen Geschäftsbetrieben gibt es kaum einen legitimen Grund, warum dieses Tool externe Verbindungen aufbauen müsste. Die Blockierung von finger.exe auf Firewall- oder Endpoint-Ebene kann die entscheidende Phase der Payload-Übertragung verhindern.

Die Kampagne ist laut Huntress-Bericht vom 16. Januar weiterhin aktiv. Sicherheitsanbieter aktualisieren derzeit ihre Erkennungssignaturen, um sowohl die NexShield-Erweiterung als auch ModeloRAT zu identifizieren. Die wichtigste Lektion für Nutzer bleibt: Seriöse Software-Updates oder Browser-Reparaturen verlangen niemals, dass man manuell PowerShell-Befehle im Windows-Ausführen-Dialog eingibt.

PS: Angreifer nutzen gezielt Frustration und gefälschte Systemmeldungen, um Anwender zur Installation von Schadsoftware zu bringen. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt, wie Sie Mitarbeiter schulen, gefährliche Erweiterungen erkennen und technische Hürden wie Allow‑Lists oder Blockaden von verdächtigen Tools (z. B. unübliche Aufrufe von finger.exe) implementieren. Praktische Anleitungen und eine Admin‑Checkliste helfen, Unternehmensnetze schnell widerstandsfähiger zu machen. Jetzt kostenloses E-Book anfordern