Дослідники Huntress зафіксували нову хвилю таргетованих атак на користувачів Google Chrome, у яких використовується розширення NexShield. Воно маскується під легітимний блокувальник реклами uBlock Origin Lite, навмисно виводить браузер з ладу та за допомогою соціальної інженерії змушує користувача власноруч виконати шкідливі PowerShell-команди. Така схема отримала назву CrashFix і є еволюцією відомих ClickFix-атак.
ClickFix проти CrashFix: як змінюється соціальна інженерія
Класичні ClickFix-атаки побудовані навколо спеціально підготовлених вебсторінок. Користувача перенаправляють на фальшивий сайт, де його переконують скопіювати та запустити в PowerShell «службові» команди — начебто для перевірки системи, виправлення помилок відображення чи підтвердження, що це не бот. По суті, жертва самостійно інсталює шкідливе ПЗ.
CrashFix переносить цей сценарій безпосередньо в браузер. Замість підозрілого сайту використовується начебто корисне розширення безпеки, яке виглядає як звичайний блокувальник реклами. Завдяки цьому знижується початкова настороженість користувача: підробка стосується не випадкового сайту, а «інструменту захисту» у Chrome.
Шкідливе розширення NexShield: маскування, затримка активації та контроль
Розширення NexShield копіює назву та позиціонування uBlock Origin Lite, формуючи у користувача відчуття, що це ще один легітимний інструмент фільтрації реклами. Після встановлення розширення навмисно не проявляє активності протягом тривалого часу, що ускладнює виявлення інциденту одразу після інсталяції.
Ключова технічна особливість NexShield — відкладений запуск приблизно через годину після встановлення. Подібні затримки часто використовують, щоб обійти поверхневі автоматизовані перевірки та уникнути швидкого видалення розширення користувачем або ІТ-відділом. Крім того, атака керується з віддаленого C2-сервера: шкідлива активність вмикається лише для обраних ідентифікаторів користувачів, що дозволяє зменшити «шум» та привернення уваги захисних рішень.
Механіка атаки CrashFix: від DoS браузера до встановлення ModeloRAT
DoS-атака на Chrome через масові з’єднання chrome.runtime
Коли NexShield активується, воно запускає функцію, що у безкінечному циклі створює chrome.runtime port connections. Це призводить до різкого зростання споживання ресурсів, зависань та аварійного завершення роботи браузера. По суті, це цілеспрямована DoS-атака на браузер, яка імітує критичний технічний збій.
Перша хвиля DoS розпочинається приблизно через десять хвилин після активації, надалі атака повторюється кожні 10 хвилин. Водночас вона застосовується лише до тих систем, чиї ідентифікатори вже були передані на сервер управління, що вказує на централізоване та вибіркове керування кампанією.
Підроблене попередження та примус до запуску PowerShell-команд
Після перезапуску браузера жертва бачить фальшиве попередження про проблеми з безпекою, нібито пов’язані з роботою Chrome. NexShield пропонує «виправити помилку» через стандартне вікно Windows Run, при цьому заздалегідь копіює в буфер обміну вже підготовлену PowerShell-команду.
Користувачу залишається вставити текст з буфера та запустити його. Такий підхід продовжує лінію ClickFix: з технічної точки зору саме користувач ініціює шкідливу дію, але психологічно він переконаний, що виконує легітимне «відновлення» браузера після збою.
Finger.exe, завантаження пейлоадів і інсталяція ModeloRAT
У результаті виконання PowerShell-скрипту в ланцюжок атаки вбудовується легітимна утиліта Windows Finger.exe, призначена для отримання інформації про користувачів на віддалених системах. Зловмисники використовують її як інструмент первинної розвідки та проміжний етап перед завантаженням наступних компонентів.
Наступний пейлоад завантажує та запускає ModeloRAT — повнофункціональний троян віддаленого доступу на базі Python. ModeloRAT забезпечує збір інформації про систему та мережу, закріплення у ОС (персистентність), виконання довільних команд операторів, завантаження додаткових модулів та зміну параметрів реєстру. Це створює довготривалу точку опори в інфраструктурі організації.
Важливий нюанс: ModeloRAT встановлюється лише на комп’ютерах, що входять до домену. Якщо хост не є частиною доменної інфраструктури, C2-сервер повертає тестове повідомлення «TEST PAYLOAD!!!!». Це вказує на пріоритетну орієнтацію кампанії на корпоративні мережі та, ймовірно, на додаткове тестування інфраструктури нападників.
Група KongTuke (404 TDS) та фокус на корпоративні мережі
Артефакти, доменні імена та інфраструктура, зафіксовані під час аналізу CrashFix, корелюють з активністю угруповання KongTuke, також відомого як 404 TDS, Chaya_002, LandUpdate808, TAG-124. Ця група використовує розвинуту систему Traffic Direction System (TDS), що маршрутизує трафік жертв через низку проміжних вузлів до різних наборів шкідливих сценаріїв, зокрема ClickFix.
За спостереженнями аналітиків, основна мета KongTuke — компрометація корпоративних середовищ з подальшим доступом до Active Directory, внутрішніх сервісів та конфіденційних даних. Вибіркове встановлення ModeloRAT лише на доменні хости логічно вписується в стратегію фокусування ресурсів на цінних цілях, а не на домашніх ПК.
NexShield видалено з Chrome Web Store: що робити користувачам і компаніям
Розширення NexShield вже вилучене з Chrome Web Store, однак це не усуває ризики для тих, хто встиг його встановити. Важливо розуміти, що просте видалення розширення не видаляє ModeloRAT та супутні компоненти, які могли закріпитися в системі.
Рекомендовані кроки реагування для організацій та просунутих користувачів:
- запустити повне антивірусне та EDR-сканування, приділивши особливу увагу доменним хостам та критичним серверам;
- перевірити автозавантаження, планувальник завдань та ключові гілки реєстру на ознаки персистентності RAT-подібних загроз;
- провести аудит розширень у браузерах: видалити всі надлишкові або незрозумілі плагіни, запровадити allowlist‑підхід для корпоративних браузерів;
- обмежити або контролювати виконання PowerShell‑скриптів через групові політики (наприклад, Constrained Language Mode у чутливих сегментах мережі);
- регулярно навчати співробітників розпізнавати сценарії соціальної інженерії, де «виправлення проблеми» починається з ручного запуску невідомих команд.
CrashFix наочно демонструє, як поєднання технічних прийомів (DoS браузера, PowerShell, RAT) із цілеспрямованим психологічним тиском дозволяє зловмисникам обходити навіть складні засоби захисту. Організаціям варто переглянути політики щодо встановлення розширень, посилити контроль використання PowerShell та приділити більше уваги навчанню користувачів. Саме людина, а не технологія, часто стає вирішальним бар’єром між корпоративною мережею та повноцінною компрометацією.
