CrashFix マルウェア・キャンペーン:悪意のエクステンションによる偽ブラウザ警告表示の手法

CrashFix – Hackers Using Malicious Extensions to Display Fake Browser Warnings

2026/01/19 CyberSecurityNews — サイバーセキュリティ研究者が発見したのは、異例ではあるが効果的な戦術を用いる高度なマルウェア・キャンペーンである。このキャンペーンは、ユーザーのブラウザを意図的にクラッシュさせる手法を中核としている。この脅威は CrashFix と命名されており、正規の広告ブロッカー NexShield を装った悪意の Chrome エクステンションを通じて配布されている。ユーザーがオンラインでプライバシー・ツールを検索すると、悪意の広告により、Chrome Web Store 上で信頼できそうに見えるエクステンションのダウンロードへと誘導される。

この偽装エクステンションにより、ユーザーを意図的に苛立たせ、危険なコマンドを実行させることを目的とした連携攻撃が開始される。このキャンペーンは、家庭環境と企業環境の双方を標的とする多層的な感染アプローチを示している。インストール後に、エクステンションは 1 時間の休眠状態を維持し、その後に破壊的なペイロードを起動する。

Fake CrashFix pop-up message (Source - Huntress)
Fake CrashFix pop-up message (Source – Huntress)

この戦略により、インストールと問題発生の間に時間差が生じるため、ブラウザの異常が追加したソフトウェアに起因するものだと、疑いにくい状況が作り出される。このオペレーションが示すのは、ユーザー行動を深く理解した脅威アクターによる周到な計画性である。

Huntress のアナリストによると、このキャンペーンは 2025年初頭から活動している、既知の脅威アクター・グループ KongTuke によるものだという。研究者たちは、uBlock Origin Lite を模倣する NexShield という名称のエクステンション、その核となる CrashFix の攻撃メカニズムを特定した。さらに、ModeloRAT と呼ばれる未確認の Python ベース・リモート・アクセス・ツールなどの、複数の高度なコンポーネントも特定した。

Fake CrashFix pop-up message after 'run scan' (Source - Huntress)
Fake CrashFix pop-up message after ‘run scan’ (Source – Huntress)

スタンドアロン・システムへの攻撃と比較して、企業環境を標的とする場合には、ドメイン参加マシンに対する強力なマルウェアの配布といった、攻撃の高度化が確認されており、攻撃者が企業侵害を重視していることが示唆されている。

ブラウザ・サービス拒否攻撃のメカニズム

CrashFix の中核は、被害者のブラウザに対する、意図的なサービス拒否 (DoS) 攻撃である。このエクステンションには、無限ループ内で 10 億件もの “chrome.runtime.connect” 呼び出しを生成するコードが含まれている。

NexShield header reference (Source - Huntress)
NexShield header reference (Source – Huntress)

生成された接続情報を格納する配列が各ポートで制限なく拡張され、ブラウザ内部のメッセージング・システムが圧迫されることで、CPU サイクルが大量に消費される。その結果、メモリ使用量はシステム限界に達するまで増加し、深刻な動作遅延/タブのフリーズ、さらには強制終了を伴う完全なブラウザ・クラッシュが引き起こされる。

User attempting to look for remediation solutions (Source - Huntress)
User attempting to look for remediation solutions (Source – Huntress)

ユーザーがブラウザを再起動すると、「ブラウザが異常終了した」という偽のセキュリティ警告が表示される。この警告は、Windows の「ファイル名を指定して実行」ボックスを開き、クリップボードの内容を貼り付けて Enter キーを押すよう指示する。

ユーザーには検知されない形で、悪意のエクステンションは事前に PowerShell コマンドをクリップボードへコピーしている。表示されるコマンドはシステム修復のための正当な手順に見えるが、実際には危険なペイロードを実行する内容である。

こうして、C2 との接続を確立した攻撃者は、ユーザーがポップアップと対話したことを確認した後にのみ攻撃をトリガーしており、運用上の高度な状況認識と作戦遂行の能力を示している。

この手法は、ソーシャル・エンジニアリングと技術的な悪用を組み合わせるものであり、きわめて深刻な結果をもたらす。

ブラウザ・エクステンションを悪用して、あえて不具合を起こすことで罠にかける、きわめて巧妙な攻撃 “CrashFix” が見つかりました。この攻撃は、広告ブロッカーを装う偽のエクステンションが、ブラウザ内部で無限に通信を発生させてパンク状態にする、ブラウザ・サービス拒否攻撃から開始されます。意図的にブラウザをフリーズさせてユーザーを困らせた後の再起動時に、「修復のために必要」と欺いて、クリップボードに用意した悪意の PowerShell コマンドを実行させる仕組みです。この攻撃は心理的な焦りを突く設計になっており、特定のソフトウェアの不備を突くというよりは、ブラウザの正常な機能を悪用するソーシャル・エンジニアリングの一種と言えます。もし NexShield などの不審なエクステンションを導入してから、ブラウザが重くなったと感じたら、脅威アクターの指示に従わず、それらのエクステンションを削除する必要があります。よろしければ、Extension での検索結果も、ご参照ください。