Eine raffinierte neue Cyberattacke zielt gezielt auf Windows-11-Systeme in Unternehmen ab. Die als „CrashFix“ bekannte Kampagne nutzt einen gezielten Browser-Absturz, um Mitarbeiter zur Installation von Schadsoftware zu verleiten.
Sicherheitsforscher warnen vor einer gefährlichen Entwicklung bei Phishing-Angriffen. Die erst kürzlich identifizierte Kampagne setzt auf eine mehrstufige Taktik: Sie beginnt mit einer schädlichen Browser-Erweiterung und endet mit der Installation eines leistungsstarken Remote Access Trojaners (RAT). Der dahinterstehende Akteur „KongTuke“ zeigt dabei ein klares Interesse an Unternehmensnetzwerken.
So funktioniert der tückische Angriffsweg
Die Infektion startet oft harmlos. Nutzer, die nach legitimen Tools wie Werbeblockern suchen, werden über manipulierte Anzeigen auf eine bösartige Erweiterung namens „NexShield“ gelenkt. Diese gab sich zeitweise im offiziellen Chrome Web Store als vertrauenswürdiger „uBlock Origin Lite“-Blocker aus.
Nach der Installation wartet die Erweiterung etwa eine Stunde, um Sicherheitssoftware zu umgehen. Dann aktiviert sie ihren schädlichen Code und bringt den Browser gezielt zum Absturz. Dies erzeugt ein echtes Problem – und die perfide Falle schnappt zu.
Die neue „CrashFix“-Masche zeigt, wie harmlos wirkende Browser‑Erweiterungen Unternehmensrechner kompromittieren können. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt, wie Angreifer über manipulierte Store‑Einträge, Absturz‑Fake‑Screens und manuelle Befehlsausführung Zugang zu Firmennetzwerken erhalten – und welche Sofortmaßnahmen IT‑Teams ergreifen sollten (Erkennung, Richtlinien für Extensions, Netzwerk‑Monitoring und Mitarbeiterschulungen). Ideal für IT‑Leiter und Sicherheitsbeauftragte. Gratis E‑Book: Cyber‑Security Awareness Trends herunterladen
Beim Neustart des Browsers erscheint eine gefälschte Sicherheitswarnung. Sie behauptet, der Browser sei „abnormal beendet“ worden und fordert den Nutzer auf, einen Scan durchzuführen. Die Anleitung: Das Windows-Ausführen-Dialogfeld öffnen und einen bereits in die Zwischenablage kopierten Befehl einfügen. Genau dieser manuell ausgeführte Schritt installiert die Hauptschadsoftware und umgeht so viele Sicherheitsvorkehrungen.
Gezielte Attacke auf Firmen-PCs mit ModeloRAT
Die Kampagne zeigt bemerkenswerte Präzision. Sie erkennt, ob ein PC in eine Unternehmensdomäne eingebunden ist – und liefert dann das passende Schadprogramm aus. Für diese wertvollen Firmenrechner, die oft Zugang zum gesamten Netzwerk bieten, kommt „ModeloRAT“ zum Einsatz.
Dieser bisher unbekannte, Python-basierte Trojaner öffnet den Angreifern eine dauerhafte Hintertür. Von dort aus sind Datendiebstahl, die Bewegung innerhalb des Netzwerks und weitere Attacken möglich. Private Heim-PCs erhalten dagegen nur ein Test-Paket, was die klare Unternehmensausrichtung der Kampagne unterstreicht.
Warum dieser Angriff so gefährlich ist
„CrashFix“ markiert eine besorgniserregende Trendwende. Statt auf erfundene Warnungen setzen die Angreifer auf ein echtes, frustrierendes Problem – den Browser-Absturz. Der angebotene „Fix“ wirkt dadurch viel glaubwürdiger. Diese selbst erzeugte Problem-Lösungs-Spirale ist tückischer als ältere „ClickFix“-Methoden mit gefälschten CAPTCHAs oder Virenwarnungen.
Die vorübergehende Präsenz der schädlichen Erweiterung im offiziellen Store zeigt ein weiteres Problem: Auch vermeintlich vertrauenswürdige Plattformen können für Malware-Verteilung missbraucht werden. Für Unternehmen unterstreicht dieser Vorfall das Risiko, das von Browser-Erweiterungen als Angriffsvektor ausgeht.
So können sich Unternehmen schützen
Die Experten rechnen damit, dass die „KongTuke“-Gruppe ihre Taktik weiter verfeinern wird. Der beste Schutz ist eine Kombination aus technischen Maßnahmen und sensiblen Mitarbeitern.
Unternehmen sollten Richtlinien einführen, die die Installation nicht-autorisierter Browser-Erweiterungen unterbinden. Die Überwachung des Netzwerkverkehrs auf Verbindungen zu bekannten Schadserver-Domains ist ebenso crucial.
Die wichtigste Lektion für Mitarbeiter: Jede Aufforderung, nach einem unerwarteten Systemproblem manuell Befehle in PowerShell oder dem Ausführen-Dialog einzugeben, ist höchst verdächtig. Statt einem angeblichen „Fix“ nach einem Browser-Absturz zu folgen, sollte die Warnung sofort geschlossen und der Vorfall der IT-Sicherheit gemeldet werden.
PS: Solche gezielten Angriffe treffen vor allem Unternehmen, die Erweiterungen und manuelle Eingriffe erlauben. Der kostenlose Leitfaden bietet eine praxisnahe 4‑Schritte-Checkliste zur Prävention: klare Richtlinien gegen nicht autorisierte Extensions, wirksame User‑Awareness‑Maßnahmen, Netzwerküberwachung und Notfall‑Response. Nutzen Sie die Handlungsempfehlungen, um ModeloRAT & Co. frühzeitig zu stoppen – kompakt, verständlich und sofort umsetzbar für IT‑Verantwortliche. Jetzt gratis Cyber‑Security‑Kurzguide sichern
