CrashFix: La nueva estafa que utiliza extensiones de Chrome para sabotear navegadores y distribuir malware
Investigadores descubren una campaña que utiliza una versión falsa de uBlock Origin para provocar cierres forzados del sistema y engañar a los usuarios con "soluciones" que instalan un troyano de acceso remoto (RAT).
Una nueva y sofisticada campaña de ciberataque, denominada "CrashFix" por la firma de seguridad Huntress, está utilizando tácticas de ingeniería social de "bucle infinito" para infectar sistemas Windows. El ataque comienza con una extensión maliciosa de Google Chrome que simula ser un bloqueador de anuncios legítimo, pero cuyo objetivo real es inutilizar el navegador para obligar al usuario a ejecutar comandos maliciosos.
El engaño: Un escudo que se convierte en arma
El ataque inicia cuando los usuarios, buscando herramientas de privacidad, son redirigidos a una extensión fraudulenta en la Chrome Web Store llamada "NexShield – Advanced Web Guardian". Esta extensión es un clon casi idéntico del popular uBlock Origin Lite, lo que le permitió superar los filtros iniciales y acumular más de 5,000 descargas antes de ser retirada.
Una vez instalada, la extensión espera 60 minutos para activarse. Tras ese periodo, ejecuta un ataque de denegación de servicio (DoS) local que consume toda la memoria del navegador, provocando que este se congele o se cierre inesperadamente.
La falsa solución "ClickFix"
Cuando el usuario, frustrado, reinicia el navegador, la extensión muestra un mensaje de error falso que imita una alerta de seguridad de Microsoft Edge. El mensaje indica que el navegador "se detuvo de forma anormal" y ofrece un botón de "Escanear" para solucionar el problema.
Al hacer clic, se le pide al usuario que abra la ventana de "Ejecutar" en Windows (Win + R) y pegue un comando que ya ha sido copiado automáticamente en su portapapeles. Si la víctima sigue las instrucciones, ejecuta involuntariamente un script de PowerShell que descarga el verdadero peligro: ModeloRAT.
ModeloRAT: Un troyano diseñado para el espionaje corporativo
El malware final, bautizado como ModeloRAT, es un troyano de acceso remoto basado en Python con capacidades avanzadas:
Persistencia: Se oculta en el registro de Windows para ejecutarse cada vez que se inicia el equipo.
Control total: Permite a los atacantes ejecutar comandos remotos, descargar archivos adicionales y extraer información sensible.
Filtro selectivo: Los investigadores notaron que el malware busca específicamente si la computadora pertenece a una red corporativa (dominio). Si es así, despliega toda su carga útil, lo que sugiere que el objetivo principal es el espionaje industrial y el acceso a redes empresariales.
Un ciclo de infección persistente
Lo más alarmante de "CrashFix" es su capacidad de supervivencia. Si el usuario no elimina la extensión, el malware vuelve a bloquear el navegador cada 10 minutos, creando un ciclo de frustración que empuja a las víctimas a intentar la "falsa solución" varias veces.
Expertos en ciberseguridad recomiendan a los usuarios verificar siempre el desarrollador de las extensiones, incluso dentro de la tienda oficial de Chrome, y nunca ejecutar comandos en la terminal de Windows que provengan de sitios web o ventanas emergentes desconocidas, sin importar cuán legítimo parezca el error técnico.