Extensia falsă ad blocker întrerupe browserul pentru atacurile ClickFix
Sursă: https://www.bleepingcomputer.com
O campanie de reclame rău intenționate utilizează o extensie falsă pentru Chrome și Edge, numită NexShield, care blochează reclamele și blochează intenționat browserul în pregătirea atacurilor ClickFix.
Atacurile au fost detectate la începutul acestei luni și au furnizat un nou instrument de acces la distanță bazat pe Python, numit ModeloRAT, care este implementat în mediile corporative.
Extensia NexShield, care a fost eliminată din Chrome Web Store, a fost promovată ca un instrument de blocare a reclamelor ușor, performant și care pune accentul pe confidențialitate, cu peste 14 milioane de utilizatori.
Specialiștii în securitate cibernetică afirmă că NexShield generează un atac de tip denial-of-service (DoS) în browser prin crearea de conexiuni de port chrome.runtime într-o buclă infinită și epuizarea resurselor sale de memorie.
Acest lucru duce la blocarea filelor, utilizarea crescută a procesorului în procesul Chrome, utilizarea crescută a memoriei RAM și lipsa de reacție generală a browserului. În cele din urmă, Chrome/Edge se blochează sau se închide, forțând o închidere prin Windows Task Manager.
Când browserul este repornit, extensia afișează o fereastră pop-up înșelătoare care afișează un avertisment fals și sugerează scanarea sistemului pentru a localiza problema.
Astfel, se deschide o fereastră nouă cu un avertisment fals privind probleme de securitate detectate care amenință datele utilizatorului, cu instrucțiuni privind modul de remediere a problemei, care implică executarea de comenzi rău intenționate în linia de comandă Windows.
În stilul tipic ClickFix, extensia rău intenționată copiază o comandă în clipboard și îi cere utilizatorului să tasteze Ctrl+V și apoi să o execute în Command Prompt.
Comanda de remediere este un lanț care declanșează un script PowerShell ascuns printr-o conexiune la distanță, care descarcă și execută un script rău intenționat.
În încercarea de a disocia extensia de activitatea rău intenționată și de a evita detectarea, payload-ul are o întârziere de executare de 60 de minute după instalarea NexShield.
La începutul acestei luni, a fost detectat un alt atac ClickFix care simula un ecran BSOD Windows în browserul țintă, abuzând de modul ecran complet. Cu toate acestea, în cazul CrashFix, blocarea browserului este reală, ceea ce îl face mai convingător.
Utilizatorii care au instalat NexShield ar trebui să efectueze o curățare completă a sistemului, deoarece dezinstalarea extensiei nu elimină toate payload-urile, cum ar fi ModeloRAT sau alte scripturi rău intenționate.
Sursă: https://www.bleepingcomputer.com/news/security/fake-ad-blocker-extension-crashes-the-browser-for-clickfix-attacks/
