Резюме создано Smart Answers AI
В итоге:
- PCWorld сообщает, что вредоносное расширение Chrome под названием «NexShield Smart Ad Blocker» выдавало себя за разработчика uBlock Origin Рэймонда Хилла для распространения опасного трояна ModeloRAT.
- Фальшивый блокировщик рекламы намеренно приводил к сбою в работе браузеров, чтобы обманом заставить пользователей установить вредоносное ПО, обеспечивающее удаленный доступ, шпионаж и модификацию системы в корпоративных сетях.
- Эта изощренная афера подчеркивает необходимость проявлять осторожность при загрузке расширений браузера, даже из официальных магазинов, таких как Интернет-магазин Chrome.
Я блокирую рекламу (несмотря на лицемерие), и вы, вероятно, делаете то же самое, если вы достаточно технически грамотны, чтобы регулярно читать PCWorld. Так что, возможно, вы знакомы с небольшой драмой между Google Chrome и невероятно популярным uBlock Origin, который также является любимым проектом индивидуального разработчика. Эта известность привела к небольшой иронии: мошенник выдал себя за указанного разработчика с помощью поддельного блокировщика рекламы.
«Умный блокировщик рекламы NexShield» когда-то был доступен в Интернет-магазине Chrome, что позволяло его загружать и устанавливать в браузерах на базе Chromium, таких как Chrome и Edge. С тех пор он был удален, а его рекламная страница закрыта вместе с сопутствующей рекламой, которая появлялась в поисковых системах, включая Google. Но, очевидно, его рекламировали как «созданное Рэймондом Хиллом». Хилл примечателен как единственный разработчик uBlock Origin, который отказался соблюдать изменения расширения Google Manifest V3, заявив, что это ограничит функциональность систем блокировки рекламы.
Оригинальный uBlock Origin по-прежнему доступен в Firefox и других браузерах, отличных от Chromium, в то время как тем из нас, кто все еще использует самый популярный стандарт, придется довольствоваться менее эффективным uBlock Origin Lite. NexShield, очевидно, клонировал большую часть кода версии Lite и ошибочно приписал разработку Хиллу.
NexShield был обнаружен как вредоносное ПО поставщиком средств безопасности Huntress (через BleepingComputer), который сообщил, что расширение использовало интересный вектор атаки. Внутри файла background.js скрыта система, которая отправляет создателям информацию об отслеживании пользователей. Чтобы вас не сразу заметили, расширение фактически не начинает работать в течение часа.
Как только оно становится активным, расширение перегружает браузер, выполняя цикл из одного миллиарда действий (с буквой «b») снова и снова. Это быстро истощает системные ресурсы, вызывая сбой вкладок и, в конечном итоге, всего браузера. Как только пользователь перезапускает браузер, он получает сообщения о проблемах, которые необходимо устранить (отсюда и прозвища «ClickFix» и «CrashFix», присвоенные некоторыми исследователями безопасности). Когда это происходит, код автоматически копируется, а затем пользователю предлагается вставить вредоносную команду в инструмент «Выполнить» Windows: «Открыть Win + R, нажать Ctrl + V, нажать Enter».
Этот небольшой трюк устанавливает ModeloRAT, неприятную полезную нагрузку, которая включает в себя трояна удаленного доступа с возможностью установки дополнительных инструментов, шпионажа за пользователем, изменения реестра Windows и всевозможных других сомнительных действий. По словам Хантресс, эта система является работой злоумышленника KongTuke, который специально нацелен на крупные корпоративные сети.
