Обнаружен фальшивый блокировщик рекламы NexShield, маскировавшийся под разработку создателя uBlock Origin. Расширение, удаленное из Chrome Web Store, запускало вредоносный скрипт, вызывающий сбои браузера и установку трояна ModeloRAT для шпионажа и модификации системы, нацеливаясь на корпоративные сети.
Я блокирую рекламу (несмотря на лицемерие), и, вероятно, вы тоже, если обладаете достаточной технической грамотностью, чтобы регулярно читать PCWorld. Возможно, вы знакомы с небольшой драмой между Google Chrome и невероятно популярным uBlock Origin, который также является проектом, созданным одним разработчиком из любви к своему делу. Эта известность привела к небольшой иронии: мошенник, выдающий себя за этого разработчика, создал поддельный блокировщик рекламы.
«NexShield Smart Ad Blocker» в какой-то момент был доступен в Chrome Web Store, что позволяло загружать и устанавливать его в браузеры на базе Chromium, такие как Chrome и Edge. С тех пор он был удален, а его рекламная страница, наряду с сопутствующей рекламой в поисковых системах, включая Google, исчезла. Однако он, по-видимому, продвигался как «созданный Рэймондом Хиллом». Хилл довольно известен как единственный разработчик uBlock Origin, который отказался выполнять требования Google по изменению Manifest V3, заявив, что это подорвет функциональность систем блокировки рекламы.
Оригинальный uBlock Origin по-прежнему доступен для Firefox и других браузеров, не основанных на Chromium, в то время как те из нас, кто по-прежнему использует самый популярный стандарт, вынуждены довольствоваться менее эффективным uBlock Origin Lite. Похоже, NexShield скопировал большую часть кода из версии Lite и ложно приписал разработку Хиллу.
NexShield был обнаружен как вредоносное ПО поставщиком решений в области безопасности Huntress (по данным BleepingComputer), который сообщает, что расширение использовало интересный вектор атаки. Скрытая в файле background.js система отправляет информацию о слежке за пользователем создателям. Чтобы избежать немедленного обнаружения, расширение фактически начинает работать только через час.
Как только оно активируется, расширение перегружает браузер, запуская цикл из миллиарда (с «б») действий, повторяющихся снова и снова. Это быстро истощает системные ресурсы, вызывая сбой вкладок и, в конечном итоге, всего браузера. После перезапуска браузера пользователи получают сообщения о необходимости устранения проблем (отсюда и названия «ClickFix» и «CrashFix», присвоенные некоторыми исследователями безопасности). Когда это происходит, код автоматически копируется, а затем пользователю предлагается вставить вредоносную команду в инструмент «Выполнить» Windows: «Нажмите Win + R, нажмите Ctrl + V, нажмите Enter».
Эта уловка устанавливает ModeloRAT — неприятную полезную нагрузку, которая включает троян удаленного доступа со способностью устанавливать дополнительное программное обеспечение, шпионить за пользователем, изменять реестр Windows и выполнять всевозможные другие неблаговидные действия. По данным Huntress, эта система является работой злоумышленника «KongTuke», который целенаправленно атакует корпоративные сети с высокими ставками.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Michael Crider