Мошеннические расширения для браузеров не новы, однако недавно обнаруженное злоумышленное ПО выходит за рамки привычных методов, умышленно выводя систему из строя с целью запугать пользователя и подтолкнуть к выполнению опасных команд.
Обнаружено вредоносное расширение NexShield для Chrome и Edge
Исследователи безопасности выявили вредоносное расширение под названием NexShield, которое маскируется под легкий и конфиденциальный блокировщик рекламы. После установки оно намеренно вызывает сбои браузера и затем убеждает пользователя «починить» проблему, предлагая выполнить опасные команды на своем ПК.
Механизм атаки и вредоносные действия
По данным экспертов, расширение NexShield активно использует ресурсы браузера, создавая бесконечные внутренние соединения, что приводит к исчерпанию памяти системы (по информации из BleepingComputer). В результате вкладки зависают, процессор нагревается, оперативная память заполняется, а браузер либо зависает, либо полностью выходит из строя.
После перезапуска браузера на экране появляется тревожное сообщение о наличии угроз. Чтобы «устранить» проблему, пользователь вынужден следовать инструкциям и вставлять команду в командную строку. Этот процесс — ловушка, так как команда запускает скрытую PowerShell-скрипт, который загружает и запускает вредоносное ПО.
Задержка выполнения вредоносных команд и распространение
Чтобы усложнить обнаружение, злоумышленники специально задерживают запуск вредоносного кода до часа после установки расширения, создавая иллюзию безопасного исправления. Эта техника является вариацией хорошо известной схемы ClickFix, но в этой версии, под названием CrashFix, вместо фиксации системы происходит её реальный сбой.
Опасность для корпоративных сетей и домашних пользователей
В корпоративных средах вредоносное ПО использует ModeloRAT — инструмент для удаленного доступа на базе Python. Он позволяет злоумышленникам контролировать системы, просматривать файлы, запускать команды и внедрять новые вредоносные программы. Группа, ответственная за атаку, известна как KongTuke, и, судя по всему, переключается на крупные бизнес-сети, где доходы выше.
Для домашних пользователей риск менее очевиден, однако даже при отсутствии финального вредоносного payload, удаление расширения не гарантирует полного устранения угроз — некоторые компоненты могут остаться. Основная опасность заключается не в уязвимости браузера, а в доверии к инструментам и панике, вызванной ложными тревогами.
Рекомендации по защите и предотвращению атак
Представитель Microsoft Threat Protection, Танмай Ганначария, отметил, что Microsoft Defender включает встроенные средства обнаружения и блокировки вредоносных расширений и связанных с ними угроз. Регулярные обновления защитных технологий помогают своевременно выявлять подобные схемы.
Специалисты советуют соблюдать основные меры предосторожности:
- Проверяйте имя разработчика, официальный сайт и историю обновлений расширений.
- Отдавайте предпочтение проверенным разработчикам с длительной историей отзывов.
- Будьте осторожны с «новыми» расширениями, особенно если их название или оформление выглядят подозрительно.
- Никогда не выполняйте команды или не вставляйте код в командную строку по указанию браузера или сторонних программ.
- Используйте надежное антивирусное программное обеспечение для обнаружения вредоносных скриптов и удаленного доступа.
Дополнительные меры безопасности для пользователей
Для защиты личных данных рекомендуется использовать менеджеры паролей, которые шифруют учетные записи и уменьшают риск их компрометации. Также важно регулярно проверять, не были ли ваши email-адреса скомпрометированы в утечках, и менять пароли при необходимости.
Обновляйте систему автоматически, чтобы устранить уязвимости, и подключайте сервисы мониторинга личной информации, чтобы своевременно реагировать на возможное использование ваших данных злоумышленниками.
Общие советы по противодействию мошенничеству
Если браузер внезапно зависает или показывает подозрительные окна, не следуйте инструкциям по исправлению, особенно если их источник вызывает сомнения. В таких случаях лучше закрыть браузер и обратиться за помощью к специалистам или проверенным источникам.
Общий совет — быть бдительным и критически относиться к любым сообщениям о необходимости выполнить системные команды или обновления, особенно если они исходят из подозрительных расширений или всплывающих окон.
Защитить себя от подобных угроз помогают регулярные обновления, антивирусное ПО и внимательное отношение к установке новых расширений. Правильная осведомленность значительно снижает риск стать жертвой кибератак.
Алексей "Gadgeteer" Беляев
Ваш персональный техно-стратег и цифровой шерпа в запутанных джунглях современных технологий. Он не только подвергает гаджеты самым суровым испытаниям, но и анализирует невидимые силы, движущие IT-индустрией. Его материалы — это не просто обзоры, а чёткая дорожная карта, которая помогает вам делать осознанный выбор и использовать технологии для улучшения жизни, а не наоборот.