Исследователи из компании Huntress обнаружили вредоносную активность, связанную с поддельным расширением для блокировки рекламы под названием NexShield, распространявшимся в браузерах Chrome и Edge. Это расширение имитировало легитимный продукт для повышения конфиденциальности, но фактически использовалось для подготовки атак, которые получили классификацию ClickFix, а конкретно — её новую разновидность, названную специалистами CrashFix.
Расширение позиционировалось как якобы «высокопроизводительный блокировщик рекламы», а в описании упоминалось имя Рэймонда Хилла — настоящего разработчика uBlock Origin, одного из самых популярных расширений в своём классе. Таким образом, злоумышленники стремились завоевать доверие пользователей через подделку бренда и репутации известного проекта.
После установки NexShield начинает вызывать сбои в браузере. По данным Huntress, расширение создаёт непрерывные циклы обращений к API chrome.runtime, что приводит к исчерпанию ресурсов, перегрузке памяти и процессора. Это вызывает зависание отдельных вкладок, резкое увеличение потребления ОЗУ и в итоге — крах всего браузера. В некоторых случаях процесс Chrome или Edge приходится принудительно завершать через диспетчер задач.
После сбоя и перезапуска браузера пользователь сталкивается с фальшивым всплывающим окном. В нём содержится предупреждение о «выявленных проблемах с безопасностью», с предложением просканировать систему и устранить «неисправности». На следующем этапе открывается дополнительное окно с псевдоинструкцией, где якобы предлагается «починить» систему вручную, вставив и выполнив команду в консоли Windows.
Как отмечают специалисты, такая подача — типичный приём для ClickFix-атак. Злоумышленники копируют вредоносную команду в буфер обмена, а затем просят пользователя нажать Ctrl+V и запустить её в командной строке. В действительности эта команда инициирует цепочку, в которой через PowerShell устанавливается соединение с удалённым сервером, загружается обфусцированный скрипт и выполняется вредоносный код.
Конечной целью атаки является установка ModeloRAT — инструмента удалённого доступа на базе Python, ориентированного на корпоративные среды. Он предоставляет злоумышленникам возможности для удалённого контроля, сбора данных и потенциального распространения в сети.
Расширение NexShield было удалено из Chrome Web Store, однако пользователи, успевшие установить его ранее, могут оставаться уязвимыми. Huntress предупреждает: любые браузерные расширения, вызывающие резкие падения производительности и сбои, особенно с последующими всплывающими окнами, предлагающими «починку», требуют немедленного удаления и проверки системы на наличие вредоносных компонентов.