Microsoft waarschuwt voor een schadelijke extensie in de Chrome Web Store die zich voordoet als de adblocker uBlock Origin Lite. Deze extensie veroorzaakt opzettelijk een crash van de browser en moedigt gebruikers aan om malware te installeren als vermeende oplossing. Deze techniek, bekend als "CrashFix", is een variant van "ClickFix" waarbij gebruikers worden misleid om commando's uit te voeren die malware installeren.

De aanval begint wanneer een gebruiker op zoek gaat naar een adblocker. Aanvallers gebruiken valse advertenties die linken naar een nep-extensie in de Chrome Web Store. Na installatie voert de extensie een denial of service-aanval uit, waardoor de browser crasht. Een pop-up beweert dat "Microsoft Edge" beveiligingsproblemen heeft ontdekt en vraagt de gebruiker een commando uit te voeren. Dit commando maakt gebruik van het Finger-protocol, bedoeld voor het opvragen van gebruikersinformatie op een extern systeem. Via dit protocol wordt een PowerShell-script uitgevoerd dat een ander script downloadt, wat een remote access trojan (RAT) installeert. Deze malware geeft aanvallers volledige controle over het systeem. Microsoft benadrukt dat aanvallers steeds vaker gebruikmaken van vertrouwde gebruikersacties en bestaande systeemtools om beveiligingssoftware te omzeilen. Eerder analyseerde securitybedrijf Huntress deze aanval al.