L’extension Chrome nommée CrashFix fait parler d’elle en 2026 pour de mauvaises raisons. Cette extension, déguisée en bloqueur de pub, fait planter volontairement votre navigateur. Derrière ce crash se cache une attaque sophistiquée visant à installer le dangereux malware ModeloRAT.
Le mode opératoire est malin et bien rôdé : les utilisateurs sont piégés par une fausse alerte de sécurité. En revenant, ils exécutent sans le savoir une commande destinée à infecter leur système. Cette technique s’inspire de l’ancien stratagème ClickFix, mais avec une touche plus sournoise.
CrashFix : comment une fausse extension Chrome exploite la frustration des internautes
Depuis début 2026, plusieurs milliers d’internautes ont téléchargé l’extension baptisée NexShield – Advanced Web Guardian, qui promet monts et merveilles pour la vie privée. Une fois installée, elle se fait passer pour uBlock Origin Lite, un bloqueur de pub légitime très populaire.
Mais les choses tournent vite au vinaigre : le navigateur plante exprès, avec un message bidon qui prétend qu’il faut lancer un scan pour réparer le problème. Là où ça devient vicieux c’est qu’on vous demande ensuite de copier-coller une commande Windows dans la boîte de dialogue Exécuter. Cette action fait bugguer votre navigateur à mort.
Un plantage programmé en boucle infernale, conçu pour que vous finissiez par céder à la pression et installer un logiciel malveillant. Résultat : vous êtes bloqué dans un cercle vicieux que le pirate contrôle. Pas très cool, surtout quand on sait que cette extension a été téléchargée plus de 5 000 fois avant d’être retirée du Chrome Web Store.
Une attaque bien calibrée grâce à KongTuke et sa stratégie de distribution
La campagne CrashFix s’appuie sur un système nommé KongTuke, un réseau spécialisé dans la distribution de malwares depuis plusieurs années. Ces plateformes sont éprouvées pour repérer les machines vulnérables et les livrer aux cybercriminels les plus divers.
Au fil du temps, KongTuke a collaboré avec des groupes de rançongiciels comme Rhysida ou Interlock. L’intelligence de cette infrastructure, c’est son côté multi-facettes : analyse de l’environnement, envoi du payload à la cible la plus intéressante, et partage avec d’autres groupes malveillants.
Leur approche ? Profiler les ordinateurs pour savoir s’ils sont en entreprise ou chez un particulier, et ajuster l’attaque en conséquence. Autant dire qu’on est pas dans du simple plantage au hasard, mais dans un travail de sniper digital.
ModeloRAT : le malware livré par CrashFix qui prend le contrôle à distance
Au cœur du dispositif, on trouve ModeloRAT, un cheval de Troie d’accès à distance (RAT) écrit en Python. Son truc, c’est d’être discret, capable d’exécuter des commandes, d’ajouter des logiciels ou même de se mettre à jour silencieusement.
L’infection ne démarre pas avant une heure et se répète toutes les dix minutes, histoire de semer la confusion. Ce malware vérifie aussi s’il évolue sur un PC connecté à un domaine d’entreprise et adapte son comportement pour maximiser l’impact.
Les échanges avec ses serveurs de contrôle sont chiffrés, ce qui complique la détection. Avec ce RAT, un pirate peut prendre la main, exécuter des scripts PowerShell, charger des DLL ou même lancer des commandes pour explorer tout l’intérieur de la machine.
Un piège social ingénieux qui exploite les réflexes de l’utilisateur
Ce qui impressionne avec CrashFix, c’est la façon dont il tire parti de l’agacement légitime que provoque un plantage de navigateur. La fausse alerte promet de réparer ce problème soi-disant causé par Microsoft Edge, et les utilisateurs tapent vite la commande suggérée sans réfléchir.
L’extension intègre aussi des protections contre l’analyse : impossible de faire clic droit, pas de raccourcis pour ouvrir la console développeur. Le malware utilise même un programme Windows bien connu, finger.exe, pour récupérer des charges utiles supplémentaires.
Cette astuce d’enterrer une attaque sous des couches de base64 et de chiffrement XOR n’est pas nouvelle, mais elle prouve une fois de plus que les pirates savent s’adapter en 2026 pour rendre leur méthode plus furtive et résistante.
Source: thehackernews.com
- Windows 11 accélère : Copilot se déploie partout, scepticisme des utilisateurs face à l’IA et sécurité renforcée avec Defender - février 5, 2026
- Apex Thermal Putty X1 : Alphacool dévoile une nouvelle solution innovante face aux pads thermiques traditionnels - février 5, 2026
- Windows 11 : cette mise à jour corrige le plantage d’Explorer.exe au démarrage - février 5, 2026
