В интернете обнаружено опасное расширение для браузеров Chrome и Edge, которое активно распространялось под видом официального блокировщика рекламы от создателя популярного аддона uBlock Origin. Утилита под названием NexShield из официального магазина Chrome Web Store, оказалась вирусом и последствия её установки могут представлять серьёзную угрозу.
Как установили специалисты компании Huntress, расширение NexShield позиционировало себя как «лёгкий и приватный» инструмент для блокировки рекламы, а в его описании фигурировало имя Рэймонда Хилла (Raymond Hill) — реального разработчика uBlock Origin. На деле же это оказалась часть вредоносной кампании, направленной пользователей. Механизм атаки начинался с того, что расширение намеренно выводило браузер из строя и создавало бесконечные соединения через chrome.runtime, что приводило к резкому росту потребления оперативной памяти и нагрузки на процессор. В результате вкладки переставали отвечать, а браузер зависал или завершал работу.
После принудительной перезагрузки браузера пользователю показывалось поддельное предупреждение о «критической проблеме безопасности» и для её «устранения» предлагалось выполнить команду в командной строке Windows, которую расширение автоматически копировало в буфер обмена. Пользователю оставалось лишь вставить её. Запускаемая команда инициировала выполнение сложного сценария, который загружал и устанавливал вредоносный код.
На устройство доставлялся удалённый троян ModeloRAT, который способен собирать системную информацию, выполнять команды, редактировать реестр, загружать дополнительные модули и обновляться. Для затруднения анализа вредоносная активность начиналась не сразу, а лишь через 60 минут после инсталляции расширения.
Эксперты рекомендуют пользователям устанавливать расширения только из проверенных источников и от официальных разработчиков. На текущий момент приложение NexShield уже удалено из официального магазина приложений, а тем, кто уже установил NexShield, следует провести полную проверку системы, поскольку простое удаление расширения из браузера не гарантирует ликвидации всех вредоносных компонентов.
-
После завершения поддержки Windows 10 Microsoft оставила антивирусные обновления -
Появился новый вирус-вымогатель, который сначала шифрует, а потом стирает файлы навсегда -
Хакеры взломали Instagram*: в сеть попала информация о 17,5 млн аккаунтов -
Хакеры взломали Spotify и хотят бесплатно распространить 86 миллионов треков -
Слух: в сеть утекли ROM-ключи PlayStation 5, что облегчит работу взломщикам