В Chrome Web Store обнаружили опасное расширение NexShield
В интернете обнаружено опасное расширение для браузеров Chrome и Edge, которое активно распространялось под видом официального блокировщика рекламы от создателя популярного аддона uBlock Origin. Утилита под названием NexShield из официального магазина Chrome Web Store, оказалась вирусом и последствия её установки могут представлять серьёзную угрозу.
Как установили специалисты компании Huntress, расширение NexShield позиционировало себя как «лёгкий и приватный» инструмент для блокировки рекламы, а в его описании фигурировало имя Рэймонда Хилла (Raymond Hill) — реального разработчика uBlock Origin. На деле же это оказалась часть вредоносной кампании, направленной пользователей. Механизм атаки начинался с того, что расширение намеренно выводило браузер из строя и создавало бесконечные соединения через chrome.runtime, что приводило к резкому росту потребления оперативной памяти и нагрузки на процессор. В результате вкладки переставали отвечать, а браузер зависал или завершал работу.
После принудительной перезагрузки браузера пользователю показывалось поддельное предупреждение о «критической проблеме безопасности» и для её «устранения» предлагалось выполнить команду в командной строке Windows, которую расширение автоматически копировало в буфер обмена. Пользователю оставалось лишь вставить её. Запускаемая команда инициировала выполнение сложного сценария, который загружал и устанавливал вредоносный код.
На устройство доставлялся удалённый троян ModeloRAT, который способен собирать системную информацию, выполнять команды, редактировать реестр, загружать дополнительные модули и обновляться. Для затруднения анализа вредоносная активность начиналась не сразу, а лишь через 60 минут после инсталляции расширения.
Эксперты рекомендуют
