Nova variante ClickFix 'CrashFix' implanta Trojan de Acesso Remoto Python

A Microsoft identificou uma nova variante ClickFix, apelidada de "CrashFix", que emprega uma extensão maliciosa do Chrome, se passando pelo uBlock Origin Lite, para travar deliberadamente os navegadores das vítimas. Em seguida, os usuários são enganados para executar comandos copiados da área de transferência através de um falso aviso de segurança. A cadeia de ataque abusa do utilitário legítimo do Windows, finger.exe (renomeado para ct.exe), para recuperar payloads ofuscados do PowerShell.

O objetivo final é implantar um RAT baseado em Python, chamado ModeloRAT, que visa seletivamente sistemas corporativos ingressados em domínio (domain-joined enterprise systems) para comprometimento adicional. O ModeloRAT se comunica com servidores C2 hardcoded via HTTP, estabelece persistência por meio de chaves de registro Run e tarefas agendadas, e realiza reconhecimento de rede utilizando comandos nativos do Windows como nltest e net use. ️