CrashFix-Malware: Falsche Browser-Abstürze als Einfallstor in Firmennetze

Eine neue Schadsoftware nutzt manipulierte Browser-Abstürze, um Nutzer zur eigenen Infizierung zu verleiten – mit klarem Fokus auf Unternehmen.

Ein ausgeklügeltes Social-Engineering-Schema zielt derzeit auf Nutzer ab. Die als „CrashFix“ bekannte Malware-Variante gaukelt Opfern einen Browser-Absturz vor, um sie zur Ausführung schädlichen Codes zu manipulieren. Das Ziel: der Zugang zu Unternehmensnetzwerken. Die Kampagne wird der Bedrohungsgruppe KongTuke zugeschrieben, wie das Cybersicherheitsunternehmen Huntress berichtet.

So funktioniert der CrashFix-Angriff

Die Angriffskette beginnt harmlos: Ein Nutzer sucht nach gängiger Software wie einem Werbeblocker. Über manipulierte Werbeanzeigen landet er auf der offiziellen Chrome Web Store-Seite einer bösartigen Erweiterung namens „NexShield“. Diese tarnt sich als der beliebte Werbeblocker „uBlock Origin Lite“.

Passend zum Thema Unternehmens‑IT: Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind – und welche einfachen Schutzmaßnahmen oft fehlen. Der kostenlose E‑Book‑Report “Cyber Security Awareness Trends” erklärt aktuelle Hacker‑Methoden (inkl. Social‑Engineering über manipulierte Browser‑Add‑ons), liefert praxisnahe Checklisten für Schulungen und zeigt sofort umsetzbare technische sowie organisatorische Schritte, mit denen IT‑Verantwortliche Firmennetze besser absichern. Jetzt kostenlosen Cyber‑Security‑Report anfordern

Nach der Installation löst die Erweiterung absichtlich einen Denial-of-Service-Vorfall aus – der Browser friert ein. Nach einem Neustart erscheint ein Pop-up-Fenster. Es behauptet, der Browser sei „abnormal beendet“ worden und ein Scan sei nötig, um Sicherheitsbedrohungen zu beheben.

Die Anleitung im „CrashFix“-Fenster fordert den Nutzer auf, das angebliche Problem manuell zu beheben. Dazu soll er den Windows-Ausführen-Dialog öffnen und einen Inhalt aus der Zwischenablage einfügen und ausführen. Das Fatale: Die schädliche Erweiterung hat bereits einen bösartigen PowerShell-Befehl in die Zwischenablage kopiert. Der Nutzer infiziert sein System somit selbst.

Fokus auf Unternehmensumgebungen mit neuer Schadsoftware

Die Analyse zeigt ein klares Ziel: Firmennetze. Auf Computern, die Teil einer Unternehmensdomäne sind, wird eine neue, Python-basierte Schadsoftware namens „ModeloRAT“ installiert. Diese Fernzugriffstrojaner ermöglicht Angreifern die vollständige Kontrolle über das kompromittierte System.

Die gezielte Infektion von Domänen-Computern deutet darauf hin, dass KongTuke eine erste Angriffsbasis für die seitliche Bewegung innerhalb von Firmennetzen sucht. So könnten sensible interne Systeme und Active-Directory-Dienste erreicht werden.

Für private Nutzer oder Computer außerhalb von Unternehmensnetzen scheint die Infektionskette noch in Entwicklung zu sein. Der Command-and-Control-Server antwortete in Analysen mit einer Testnachricht.

Die Evolution der „ClickFix“-Angriffe

CrashFix ist die jüngste Entwicklung einer größeren Social-Engineering-Strategie namens „ClickFix“. Diese Technik zielt darauf ab, Nutzer zu täuschen, damit sie selbst schädliche Befehle ausführen.

Frühere ClickFix-Kampagnen nutzten verschiedene Köder: gefälschte CAPTCHA-Abfragen, simulierte Sicherheitswarnungen oder sogar nachgeahmte Windows-Bluescreen-Fehler. Das Prinzip bleibt gleich: Automatisierte Sicherheitslösungen werden umgangen, indem der Nutzer zum Ausführungsinstrument wird. Da das Opfer den PowerShell-Befehl manuell startet, kann es für Sicherheitssoftware schwieriger sein, die Aktivität als bösartig zu kennzeichnen.

Schutzmaßnahmen und Ausblick

Die Entdeckung von CrashFix unterstreicht die Bedeutung von Nutzeraufklärung und robusten Sicherheitsrichtlinien. Der primäre Infektionsweg ist eine bösartige Browsererweiterung. Nutzer sollten daher bei der Installation von Add-ons Vorsicht walten lassen – selbst im offiziellen Store.

Unternehmen sollten ihre Mitarbeiter für Social-Engineering-Techniken sensibilisieren. Eine klare Regel: Legitime Browser- oder Systemupdates fordern Nutzer niemals auf, manuell Befehle in den Ausführen-Dialog zu kopieren. Technisch kann die Nutzung des Ausführen-Dialogs oder von PowerShell für Standardnutzer über Gruppenrichtlinien eingeschränkt werden.

Da die KongTuke-Gruppe ihre Methoden aktiv weiterentwickelt, müssen Sicherheitsteams wachsam bleiben. Der Fokus auf Unternehmensnetze mit der ModeloRAT-Schadsoftware legt nahe, dass das ultimative Ziel wahrscheinlich Datendiebstahl, Spionage oder die Installation weiterer Schadsoftware wie Ransomware ist. Die fortschreitende Evolution von ClickFix und seinen Varianten zeigt: Diese tückischen, nutzerinitiierten Angriffe werden das Bedrohungsbild weiter prägen.

PS: Sie möchten Ihr Unternehmen konkret gegen tückische Social‑Engineering‑Angriffe wie „CrashFix“ wappnen? Der Gratis‑Leitfaden erklärt in klaren Schritten, wie Sie Mitarbeiter nachhaltig sensibilisieren, Phishing‑ und Browser‑Risiken minimieren und IT‑Prozesse mit einfachen Maßnahmen deutlich stärken – ohne große Investitionen. Ideal für Sicherheitsbeauftragte und Entscheider, die schnell wirksame Schutzmaßnahmen suchen. Gratis‑Leitfaden jetzt herunterladen