A Huntress kiberbiztonsági szakértői olyan új fenyegetést azonosítottak, amely megerősíti, hogy az internetes kártevők szinte bárhol jelen lehetnek. A NexShield nevű Chrome-bővítmény, amely több mint ötezer letöltéssel büszkélkedhetett a Chrome Webáruházban, valójában egy kifinomult adathalász rendszer része volt, amelynek célja a felhasználói adatok megszerzése és a számítógép feletti irányítás átvétele volt – írta a Bleeping Computer.

A bővítmény megtévesztő módon hirdette magát, hiszen úgy tűnt, mintha a népszerű uBlock Origin hirdetésblokkoló ihlette volna. A program saját weboldallal rendelkezett, és a valódi uBlock Origin készítője, Raymond Hill neve is hamisan szerepelt benne szerzőként. Emellett a kód jelentős része az eredeti uBlockból származott.

A megtévesztés részben hatékonynak bizonyult, mivel a NexShield a telepítést követő körülbelül egy órán keresztül valóban blokkolta a hirdetéseket. Ezzel elaltatta a felhasználók gyanakvását, majd egy szolgáltatásmegtagadási (DoS) támadást indított, amely összeomlasztotta a böngészőt. Újraindítás után egy hamis hibaüzenet jelent meg, amely arra szólította fel a felhasználót, hogy futtasson egy parancsot a Windows terminálban a rendszer „átvizsgálása” érdekében.

Amennyiben a felhasználó végrehajtotta az utasítást, a számítógép gyakorlatilag megfertőződött. A támadók ezt követően különféle káros programokat és szkripteket tölthettek le és futtathattak a háttérben, a felhasználó tudta nélkül. A támadási folyamat során a ModeloRat nevű trójai került alkalmazásra, amely képes .exe fájlokat letölteni és telepíteni, PowerShell parancsokat végrehajtani, a Windows rendszerleíró adatbázisába bejegyezni önmagát, valamint folyamatosan frissíteni, hogy elkerülje az eltávolítást.

Bár a támadás elsődlegesen vállalati hálózatokat céloz, a szakemberek szerint azoknak a felhasználóknak is érdemes fokozott óvatosságot tanúsítaniuk, akik nemrég telepítették a NexShield nevű alkalmazást. Első lépésként a bővítmény azonnali eltávolítása javasolt, majd érdemes teljes rendszerellenőrzést végezni, szükség esetén újratelepítve a rendszert.

A „CrashFix” néven ismertté vált fertőzési módszer kísértetiesen hasonlít egy korábban észlelt támadásra, amely hamis frissítésekkel csalta rá a felhasználókat, hogy parancsokat illesszenek be a terminálba. A tanács változatlan: soha ne bízzunk meg ismeretlen Windows-parancsokban, különösen akkor, ha azok hirtelen, indokolatlanul jelennek meg a képernyőn.