近期网络钓鱼攻击中最受关注的新手法是CrashFix，随后出现了多种变种，例如整个攻击流程都在浏览器内完成的FileFix，通过覆盖整个屏幕内容胁迫用户按指示操作的JackFix，以及结合OAuth身份验证流程的ConsentFix。如今，黑客又开发出一种新型攻击手段，让用户误以为浏览器出现故障，从而乖乖按照提示进行“修复”。

威胁情报公司Huntress披露了一种名为CrashFix的攻击手法，实施者是代号为KongTuke、LandUpdate808或TAG-124的黑客组织。他们近期通过恶意浏览器扩展程序NexShield，意图在受害电脑上植入恶意软件ModeloRAT。该扩展程序伪装成知名广告拦截工具uBlock Origin Lite，一旦用户安装，浏览器便会弹出崩溃提示，并要求用户按照指示输入特定命令进行“修复”。然而，若用户照做，就会复制、粘贴并执行黑客的恶意指令，导致电脑感染ModeloRAT。

这些黑客专门针对在网络上寻找广告拦截工具的用户，通过恶意广告引导用户前往Chrome Web Store下载NexShield。Huntress对比发现，该恶意扩展几乎完全复制了uBlock Origin Lite的源代码，以此骗过Google的初步审核和用户的信任。此外，黑客声称该扩展由uBlock Origin Lite作者Raymond Hill开发，并引用了一个实际并不存在的GitHub仓库，借此滥用用户对知名开源项目的信任。

用户安装NexShield后，经过一段时间，浏览器会突然无响应。若重启浏览器，会弹出异常终止提示窗口，声称检测到浏览器存在潜在安全风险，可能导致上网数据被窃取，并要求用户手动打开运行窗口（Windows键+R），粘贴（Ctrl+V）指定指令后按回车。但实际上，系统会执行黑客指令，从命令与控制服务器（C2）下载并部署ModeloRAT。

为何浏览器会出现无响应现象？原因是NexShield对浏览器实施了拒绝服务（DoS）攻击：攻击者执行特定函数，一次性进行高达十亿次的循环调用，每次循环都会建立新连接；当循环结束时，又通过另一个函数重新排队执行上述循环，从而形成无限循环，持续消耗处理器和内存等计算资源，导致浏览器内部消息系统不堪重负，出现延迟甚至完全无响应，最终迫使用户手动终止相关进程。

值得注意的是，目前攻击者似乎更倾向于针对加入域的电脑，凸显其目标是试图借此入侵企业网络环境，以便获取对Active Directory、内部系统及横向移动的控制权。对于未加入域的普通用户，黑客则引导其进入另一套尚在测试中的感染链。不过，Huntress指出，这并不意味着普通个人用户可以掉以轻心——这可能只是黑客尚未完全准备就绪，而非仅针对企业用户。