Исследователи Huntress выявили новую модификацию атак типа ClickFix, в которой используется вредоносное расширение Chrome под названием NexShield. Расширение маскируется под популярный блокировщик рекламы uBlock Origin Lite и намеренно «роняет» браузер, чтобы вынудить пользователя самостоятельно выполнить вредоносную PowerShell-команду.
Что такое CrashFix и чем он отличается от классических ClickFix-атак
Атака получила название CrashFix и представляет собой эволюцию схем социальной инженерии ClickFix. В классическом сценарии жертву перенаправляют на специально подготовленный сайт, где с помощью обмана её заставляют скопировать и выполнить набор PowerShell-команд — фактически вручную заразить свою систему.
Обычно злоумышленники объясняют необходимость запуска команд «исправлением ошибок отображения», «проверкой системы» или «подтверждением, что вы не робот», иногда имитируя BSOD (синий экран смерти) или фальшивую CAPTCHA. CrashFix переносит этот подход прямо в браузер, используя расширение, которое выглядит как легитимный инструмент защиты.
Вредоносное расширение NexShield: маскировка и поведение
Расширение NexShield выдаёт себя за легитимный блокировщик рекламы uBlock Origin Lite, используя схожее название и позиционируя себя как средство защиты. После установки оно не проявляет активность сразу, что снижает вероятность быстрого обнаружения.
Ключевая особенность NexShield — отложенный старт: расширение выжидает примерно час после установки, прежде чем активироваться. Это типичная тактика для обхода поверхностных проверок и снижения настороженности пользователя.
Механика атаки CrashFix: от DoS браузера до RAT-трояна
1. DoS-атака на браузер через chrome.runtime
Когда NexShield активируется, оно запускает функцию, которая в бесконечном цикле создаёт chrome.runtime port connections. В результате потребление ресурсов резко возрастает, браузер начинает зависать и в конечном итоге аварийно завершает работу. Это намеренный DoS браузера, задача которого — создать впечатление «критического сбоя».
Через десять минут после активации начинается первая DoS-атака, затем она повторяется каждые 10 минут, но только для тех пользователей, чьи идентификаторы уже переданы на управляющий сервер злоумышленников. Таким образом, атака управляется централизованно и может избирательно включаться или отключаться.
2. Фальшивое предупреждение и подмена сценария «лечения»
После перезапуска браузера расширение показывает пользователю поддельное предупреждение о проблемах с безопасностью и предлагает «исправить ошибку» через стандартное диалоговое окно Windows Run. В этот момент NexShield уже скопировал в буфер обмена подготовленные PowerShell-команды.
Пользователю остаётся только вставить содержимое буфера и запустить его. С точки зрения социальной инженерии это особенно опасно: жертва уверена, что выполняет восстановление работы браузера, хотя в действительности запускает установку вредоносного ПО.
3. Использование Finger.exe и установка ModeloRAT
После запуска команды в цепочку включается легитимная утилита Windows Finger.exe, предназначенная для получения информации о пользователях на удалённых системах. Она используется для первичной разведки и подготовки к загрузке следующего компонента.
Следующим этапом загружается вторичная полезная нагрузка, которая скачивает и запускает ModeloRAT — полнофункциональный Python-основанный RAT-троян (Remote Access Trojan). Этот инструмент обеспечивает:
- разведку сети и системы;
- закрепление в ОС (персистентность);
- выполнение удалённых команд операторов;
- загрузку дополнительных пейлоадов и изменение реестра.
Примечательно, что ModeloRAT устанавливается только на машины, входящие в домен. Если хост не состоит в домене, управляющий сервер возвращает тестовое сообщение «TEST PAYLOAD!!!!». Это указывает на целевую ориентацию атаки именно на корпоративный сегмент или на то, что кампания находится в стадии активной доработки.
Кого атакует CrashFix: фокус на корпоративные сети и KongTuke
Собранные артефакты и инфраструктура атаки связываются с группировкой KongTuke, также известной как 404 TDS, Chaya_002, LandUpdate808, TAG-124. Это сложная система распределения трафика (TDS), которая направляет жертв через многоступенчатую цепочку к различным вредоносным нагрузкам, включая ClickFix-сценарии.
По наблюдениям специалистов, основная цель KongTuke — компрометация корпоративных сетей с последующим доступом к Active Directory, внутренним сервисам и конфиденциальным данным. Отсутствие полноценного механизма заражения домашних (не доменных) компьютеров в CrashFix логично вписывается в такую стратегию.
Статус NexShield и практические рекомендации по защите
Расширение NexShield уже удалено из Chrome Web Store, однако пользователи, успевшие его установить, остаются под угрозой. Важно понимать, что простое удаление расширения из браузера не устраняет все компоненты атаки, включая ModeloRAT и дополнительные скрипты.
Рекомендуемые меры реагирования и профилактики:
- провести полноценное антивирусное и EDR-сканирование системы, уделяя особое внимание доменным хостам;
- проверить автозагрузку, планировщик задач и ключевые ветки реестра на признаки персистентности RAT;
- проанализировать установленные расширения браузера и исключить все, источник и необходимость которых неочевидны;
- ограничить выполнение PowerShell-скриптов политиками безопасности (особенно в корпоративной среде);
- проводить регулярное обучение сотрудников по выявлению социальной инженерии, включая сценарии, когда «починка» начинается с запуска неизвестных команд.
CrashFix наглядно демонстрирует, как злоумышленники комбинируют технические приёмы (DoS браузера, PowerShell, RAT) с психологическим давлением — моделируя стрессовую ситуацию сбоя и предлагая немедленное «лечение». Организациям и частным пользователям имеет смысл пересмотреть подход к установке расширений, ужесточить контроль над использованием PowerShell и уделить больше внимания обучению пользователей: именно человеческий фактор остаётся ключевой точкой входа для атак типа ClickFix.
