Investigadores de Huntress han identificado CrashFix, una nueva variante de los ataques de tipo ClickFix, que aprovecha una extensión maliciosa de Chrome llamada NexShield. El complemento se hace pasar por el popular bloqueador de anuncios uBlock Origin Lite y provoca caídas deliberadas del navegador para presionar al usuario a ejecutar de forma manual un comando de PowerShell que compromete por completo el sistema.
Ataque CrashFix: evolución de las campañas ClickFix basadas en PowerShell
Los ataques ClickFix se basan en ingeniería social: la víctima es redirigida a una web fraudulenta donde se le convence para copiar y pegar comandos de PowerShell, convirtiéndose en el ejecutor final del malware. Suele justificarse como una supuesta «reparación», «verificación de seguridad» o incluso una falsa pantalla azul (BSOD). CrashFix lleva este modelo un paso más allá, integrando toda la trampa dentro del propio navegador mediante una extensión aparentemente legítima.
Este enfoque explota una tendencia preocupante: según informes de la industria, la mayoría de los incidentes de ciberseguridad exitosos involucran algún tipo de manipulación del usuario. CrashFix demuestra cómo los atacantes combinan técnicas clásicas de ingeniería social con la confianza que muchos usuarios depositan en las extensiones del navegador.
Cómo se disfraza la extensión maliciosa NexShield en Chrome
NexShield se presenta como un bloqueador de anuncios similar a uBlock Origin Lite, reutilizando un nombre cercano y una narrativa de «protección» para reducir sospechas. Tras la instalación desde Chrome Web Store, la extensión permanece inactiva durante aproximadamente una hora, una táctica habitual para evadir revisiones superficiales automatizadas y retrasar los indicios visibles de actividad maliciosa.
Este inicio diferido es significativo: muchas organizaciones se limitan a comprobar el comportamiento inmediato de nuevas extensiones, por lo que una activación retardada aumenta la probabilidad de que NexShield pase desapercibida y se integre en el uso diario del navegador.
Cadena de ataque CrashFix: del bloqueo del navegador a la toma de control remoto
1. Bloqueo deliberado del navegador mediante conexiones chrome.runtime
Una vez activada, la extensión NexShield ejecuta un bucle que abre de forma masiva conexiones de puerto a través de chrome.runtime. Este comportamiento provoca un consumo anómalo de recursos, cuelgues y, finalmente, el cierre forzoso del navegador, en la práctica un ataque de denegación de servicio (DoS) orientado al navegador.
La primera oleada de DoS se lanza unos diez minutos después de la activación y se repite en intervalos de diez minutos. Sin embargo, solo afecta a usuarios cuyos identificadores han sido enviados previamente al servidor de mando y control, lo que indica una gestión centralizada y selectiva de las víctimas.
2. Falsa alerta de seguridad y abuso de PowerShell
Tras el reinicio del navegador, NexShield muestra un mensaje fraudulento de problemas de seguridad e instruye al usuario para que abra el cuadro de diálogo Windows Run para «arreglar el error». En paralelo, la extensión ya ha copiado en el portapapeles un conjunto de comandos de PowerShell preparados por los atacantes.
El usuario, convencido de estar solucionando el fallo del navegador, solo tiene que pegar y ejecutar el contenido del portapapeles. Esta maniobra reduce fricciones: no se descarga ningún archivo visible, ni se requiere deshabilitar protecciones; es el propio usuario quien lanza el script malicioso con privilegios del sistema.
3. Uso de Finger.exe y despliegue del RAT ModeloRAT
El comando PowerShell encadena varias fases. En primer lugar, abusa de la herramienta legítima de Windows Finger.exe, diseñada para consultar información de usuarios en sistemas remotos, para realizar tareas iniciales de reconocimiento y comunicación con la infraestructura de los atacantes.
A continuación, se descarga una carga secundaria que instala ModeloRAT, un troyano de acceso remoto (RAT) desarrollado en Python. Este malware permite a los operadores:
- realizar inventario de red y sistema;
- establecer persistencia en el sistema operativo;
- ejecutar comandos remotos y scripts adicionales;
- modificar el registro de Windows y descargar nuevas cargas maliciosas.
Un aspecto relevante para la defensa es que ModeloRAT solo se despliega en equipos unidos a un dominio. Cuando la máquina no forma parte de un dominio corporativo, el servidor devuelve una carga de prueba («TEST PAYLOAD!!!!»), lo que refuerza la hipótesis de un enfoque claramente orientado a entornos empresariales.
Objetivos y atribución: foco en redes corporativas y grupo KongTuke
Los artefactos técnicos y la infraestructura vinculada a CrashFix apuntan al grupo KongTuke, también conocido como 404 TDS, Chaya_002, LandUpdate808 o TAG-124. KongTuke opera una compleja Traffic Distribution System (TDS), capaz de redirigir a los usuarios a múltiples cadenas de infección, entre ellas campañas de tipo ClickFix.
La prioridad de esta amenaza parece ser el acceso a redes corporativas, Active Directory y servicios internos. La ausencia de un mecanismo completo de infección para equipos domésticos no unidos a dominio se alinea con esta estrategia, que busca maximizar el impacto en organizaciones y minimizar ruido en objetivos de menor valor.
Medidas de detección y mitigación frente a NexShield y CrashFix
Aunque NexShield ha sido retirada de Chrome Web Store, los sistemas donde ya se instaló siguen potencialmente comprometidos. Es fundamental entender que eliminar la extensión no desinstala automáticamente ModeloRAT ni otros componentes persistentes que hayan sido desplegados mediante el ataque CrashFix.
Se recomiendan las siguientes acciones de respuesta y prevención, especialmente en entornos corporativos:
- Realizar un análisis completo con antivirus y soluciones EDR, con especial foco en equipos unidos a dominio.
- Revisar elementos de inicio, tareas programadas y claves críticas del registro en busca de mecanismos de persistencia asociados a RAT.
- Auditar todas las extensiones de navegador instaladas y retirar aquellas cuyo origen o necesidad no estén justificados, implementando listas blancas gestionadas por TI.
- Restringir la ejecución de scripts PowerShell mediante políticas de grupo, aplicación de AppLocker o WDAC, y habilitar el registro avanzado de PowerShell para detección temprana.
- Refforzar la formación en ingeniería social, incluyendo escenarios donde se solicita al usuario ejecutar comandos manualmente como supuesta «reparación» de errores.
CrashFix ilustra cómo la combinación de técnicas técnicas (DoS del navegador, abuso de PowerShell, RAT) y presión psicológica puede transformar una simple caída del navegador en una intrusión corporativa grave. Para reducir el riesgo, es esencial endurecer las políticas sobre extensiones de navegador, controlar de forma estricta el uso de PowerShell y consolidar una cultura de desconfianza saludable ante cualquier «solución rápida» que requiera ejecutar comandos desconocidos. Invertir en estas medidas no solo mitiga campañas como NexShield, sino que fortalece la resiliencia global frente a la próxima generación de ataques basados en ingeniería social.
