Eine neue Angriffskampagne, von Huntress unter dem Namen CrashFix analysiert, zeigt, wie weit sich ClickFix-Angriffe weiterentwickelt haben: Über eine manipulierte Chrome-Erweiterung namens NexShield, die sich als uBlock Origin Lite ausgibt, werden Browser gezielt zum Absturz gebracht, um Nutzer dazu zu bringen, schädliche PowerShell-Befehle manuell auszuführen und so den Remote Access Trojaner (RAT) ModeloRAT zu installieren.
Von ClickFix zu CrashFix: Social Engineering im Browser
Bei klassischen ClickFix-Angriffen wird das Opfer auf eine speziell präparierte Webseite geleitet. Dort wird es mithilfe von Social Engineering dazu gebracht, einen vorgegebenen PowerShell-Befehl zu kopieren und lokal auszuführen – beispielsweise angeblich zur „Fehlerbehebung“, „Systemprüfung“ oder als „Ich-bin-kein-Roboter“-Nachweis. Teilweise kommen gefälschte Blue Screens oder Captchas zum Einsatz, um Druck zu erzeugen.
CrashFix verlagert dieses Prinzip direkt in den Browser: Statt nur über Webseiten zu arbeiten, missbrauchen die Angreifer eine Browser-Erweiterung, die wie ein legitimes Sicherheits- oder Werbeblocker-Tool wirkt. Damit sinkt die Hemmschwelle erheblich, da Erweiterungen aus dem Chrome Web Store von vielen Nutzern automatisch als vertrauenswürdig eingestuft werden.
Die NexShield-Erweiterung: Tarnung, Verzögerung und Aktivierung
NexShield tarnt sich im Chrome Web Store als Abwandlung von uBlock Origin Lite – eine klassische Typosquatting-Strategie, bei der Name, Beschreibung und Versprechen eines bekannten Tools nachgeahmt werden. Nach der Installation bleibt die Erweiterung zunächst unauffällig, was die Entdeckung durch den Anwender oder einfache automatisierte Prüfungen erschwert.
Zentrales Merkmal ist ein verzögerter Start von rund einer Stunde. Dieses „Sleep“-Verhalten ist aus zahlreichen Malware-Familien bekannt und dient dazu, Sandbox-Analysen und oberflächliche Checks zu umgehen. Viele Sicherheitstools überwachen primär die ersten Minuten nach der Ausführung – diese Zeitspanne umgeht NexShield bewusst.
Technische Umsetzung des CrashFix-Angriffs
1. Gezielter DoS-Angriff auf den Browser
Nach der Verzögerung startet NexShield eine Funktion, die in einer Endlosschleife chrome.runtime-Portverbindungen erzeugt. Die Folge ist ein schleichender, dann massiver Ressourcenverbrauch: Chrome beginnt zu hängen, reagiert nicht mehr und stürzt schließlich ab. Technisch handelt es sich um eine Denial-of-Service-Attacke (DoS) gegen den Browser.
Steuerdaten werden an einen Command-and-Control-Server (C2) übermittelt. Nur für ausgewählte Nutzer-IDs werden im Abstand von etwa zehn Minuten weitere DoS-Wellen ausgelöst. Diese zentral gesteuerte Selektivität ermöglicht es den Angreifern, bestimmte Ziele – insbesondere in Unternehmensnetzwerken – zu priorisieren und Nebengeräusche zu minimieren.
2. Gefälschtes Sicherheits-Popup und PowerShell-Social-Engineering
Nach dem Neustart des Browsers blendet NexShield ein manipuliertes Warnfenster ein, das vermeintliche Sicherheitsprobleme meldet und eine „Reparatur“ über das Standarddialogfeld Windows Ausführen (Win+R) empfiehlt. Zu diesem Zeitpunkt hat die Erweiterung bereits einen fertigen PowerShell-Befehl in den Zwischenspeicher kopiert.
Der Nutzer muss den Inhalt lediglich einfügen und ausführen. Psychologisch ist die Situation geschickt inszeniert: Der Browser wirkt instabil, das vermeintliche Sicherheits-Tool präsentiert eine Sofortlösung, und der Nutzer glaubt, er behebe ein Problem, während er tatsächlich die Malware-Installation aktiv anstößt. Laut aktuellen Lageberichten des BSI gehört genau diese Art von Social Engineering inzwischen zu den häufigsten Einstiegspunkten in Unternehmensnetze.
3. Finger.exe und Installation des RAT-Trojaners ModeloRAT
Der ausgeführte PowerShell-Befehl nutzt unter anderem die legitime Windows-Komponente Finger.exe, ein traditionelles Werkzeug zur Abfrage von Nutzerdaten auf entfernten Systemen. Hier wird sie zweckentfremdet für erste System- und Umfeldanalysen sowie zur Vorbereitung des weiteren Angriffs.
Anschließend wird eine nachgelagerte Payload nachgeladen, die den Python-basierten Remote-Access-Trojaner ModeloRAT herunterlädt und ausführt. ModeloRAT ermöglicht den Angreifern unter anderem:
- umfangreiche System- und Netzwerkerkundung,
- Aufbau von Persistenzmechanismen in der Windows-Umgebung,
- Remote-Befehlsausführung auf dem kompromittierten Host,
- Nachladen weiterer Malware und Manipulation der Registry.
Bemerkenswert ist, dass ModeloRAT nur auf Domänenrechnern voll installiert wird. Lässt sich kein Domänenkontext feststellen, liefert der C2-Server lediglich eine Testmeldung („TEST PAYLOAD!!!!“). Dies spricht für eine klare Fokussierung auf Unternehmensumgebungen und Active-Directory-Infrastrukturen.
Zielgruppe der Angreifer: Unternehmensnetze und KongTuke-Infrastruktur
Artefakte und Infrastruktur der Kampagne werden der Gruppe KongTuke zugeordnet, auch bekannt als 404 TDS, Chaya_002, LandUpdate808, TAG-124. Das dahinterstehende Traffic-Distribution-System (TDS) verteilt Opfer über mehrstufige Weiterleitungen auf unterschiedliche Malware-Payloads, darunter klassische ClickFix-Szenarien.
Die technische Ausrichtung auf Domänenhosts und der Einsatz eines funktionsreichen RAT legen nahe, dass es vorrangig um den Zugang zu Unternehmensnetzen, internen Diensten und sensiblen Daten geht. In der Praxis ist davon auszugehen, dass erfolgreiche CrashFix-Infektionen mittel- bis langfristig in Datendiebstahl, Seitwärtsbewegungen im Netzwerk und gegebenenfalls in Ransomware-Erpressungen münden können.
Aktueller Status von NexShield und empfohlene Schutzmaßnahmen
Die schädliche Erweiterung NexShield wurde inzwischen aus dem Chrome Web Store entfernt. Nutzer, die sie zuvor installiert haben, bleiben jedoch gefährdet. Das Löschen der Erweiterung allein genügt nicht, da ModeloRAT und weitere Komponenten bereits im System verankert sein können.
Empfohlene Maßnahmen für Unternehmen und anspruchsvolle Privatanwender:
- Umfassender Malware-Scan mit AV- und EDR-Lösungen, Fokus auf Domänenrechner und ungewöhnliche Netzwerkkommunikation.
- Überprüfung von Autostart, Aufgabenplanung und kritischen Registry-Pfaden auf Persistenzartefakte von RATs.
- Audit aller installierten Browser-Erweiterungen und Entfernung sämtlicher Add-ons, deren Herkunft oder Notwendigkeit unklar ist.
- Einschränkung von PowerShell über Gruppenrichtlinien (z. B. Constrained Language Mode, Execution Policies) und konsequentes Logging – insbesondere in Unternehmensnetzen, wie von Microsoft und diversen CERTs empfohlen.
- Security-Awareness-Trainings, die explizit Szenarien behandeln, in denen angebliche „Reparaturen“ oder „Sicherheitschecks“ das manuelle Ausführen unbekannter Befehle erfordern.
CrashFix verdeutlicht, wie effektiv die Kombination aus technischen Angriffen (DoS auf den Browser, PowerShell-Missbrauch, RAT-Installation) und psychologischem Druck eingesetzt werden kann. Organisationen sollten die Installation von Browser-Erweiterungen strikt regulieren, den Einsatz von PowerShell stärker überwachen und Mitarbeitende systematisch für Social-Engineering-Techniken sensibilisieren. Wer diese drei Bereiche – Browser-Sicherheit, Skriptkontrolle und Benutzeraufklärung – konsequent stärkt, reduziert das Risiko, Opfer der nächsten Generation von ClickFix- und CrashFix-Kampagnen zu werden, erheblich.
