Diese Woche haben Sicherheitsforscher eine Maldumping-Kampagne, die eine gefälschte Erweiterung für Chrome und Edge namens NexShield als Trojan's Pferd. Eine einfache Ansicht wurde als leichter und datenfreundlicher Werbeblocker verkauft, sogar den legitimen Entwickler von uBlock Origin als Anspruch zu erwähnen, aber sein Ziel war viel sündiger: den Browser zu blockieren und dann drücken Sie den Benutzer, um Befehle zu führen, die Malware herunterladen.
Das schädliche Verhalten kombinierte zwei klassische Taktiken: um einen echten Browser-Versagen zu zwingen und, wenn der Benutzer neu gestartet, um eine betrügerische Warnung, die nach "fix" das Problem gefragt, indem Sie einen Befehl in das Systemsymbol schlagen und ausführen. Laut dem von Huntress-Forschern veröffentlichten technischen Bericht generierte die Erweiterung Port-Verbindungen durch die Erweiterung API (chrome.runtime) in einer unendlichen Schleife, bis der Speicher erschöpft war, so dass gefrorene Tabs, hohe CPU-Nutzung und schließlich ein totaler Zusammenbruch von Chrome oder Edge. Die vollständige Analyse ist auf Huntress Blog verfügbar: Huntress Bericht.
Was diese Kampagne von anderen Varianten von "ClickFix" unterscheidet, ist, dass hier der Ausfall keine Simulation im Browser ist: es ist ein echtes Schloss. Dieser Fehler legitimiert den Notfall, der die Erweiterung zeigt, wenn der Browser neu gestartet wird und erhöht die Wahrscheinlichkeit, dass ein Opfer hassen Anweisungen folgen wird. Der betrügerische Dialog kopiert automatisch einen Befehl an die Zwischenablage und fordert den Benutzer auf, ihn festzuhalten und auf der Windows-Konsole auszuführen. Diese Befehlskette löst eine Sequenz aus, die opused PowerShell anruft, um Remotecode herunterzuladen und auszuführen.
Die in Unternehmensumgebungen gefundene Nutzlast-Huntress war ein neuer Fernzugriff, der in Python namens ModeloRAT geschrieben wurde. In Maschinen, die Teil einer Business-Domain sind, zeigt ModeloRAT typische Fähigkeiten von Remote Access Tools: Systemerkennung, Power Shell-Befehl Ausführung, Windows-Registrierung Änderung, zusätzliche Last-Download und Remote-Update. In heimischen Hosts reagierte der Befehls- und Kontrollserver mit einer Testnachricht und deutete darauf hin, dass die Betreiber die Geschäftsziele priorisieren. Alle diese Details sind in der technischen Analyse von Huntress in größerer Tiefe beschrieben.
Dass eine Browser-Erweiterung erreicht den Chrome Web Store mit Hunderten oder Tausenden von Einrichtungen und dass es sich präsentiert durch Faking Affinity mit legitimen Projekten ist nicht neu, aber es ist alarmierend. Der Entwickler von uBlock Origin, Raymond Hill (gorhill), wird oft von den Angreifern zitiert, um das Aussehen von Glaubwürdigkeit zu geben; wenn Sie die Seite des legitimen Projekts sehen möchten, ist es in seinem Repository: uBlock in GitHub. In der Zwischenzeit, Google bereits die bösartige Erweiterung aus seinem Speicher nach den Erkennungen entfernt.
Die hier verwendete Technik, die einen wirklichen Fehler verursacht und dann eine "Lösung" bietet, die Code läuft, teilt die Philosophie mit anderen technischen Support-Betrugs und ClickFix-Vektoren, die von der Community gemeldet werden. Frühere Forschung hat Varianten gezeigt, die Fehlerbildschirme oder sogar einen falschen BSOD im Vollbildmodus simulieren; in diesem Fall ist die Unterbrechung authentisch und macht sie überzeugender. Um besser zu verstehen, wie die APIs, die die Angreifer missbrauchen, technisch funktionieren, ist Chromiums offizielle Erweiterungsdokumentation eine gute Ressource: Chrome Runtime API.
Was können Benutzer und Administratoren tun? Zunächst, nicht einfügen oder ausführen Befehle, die aus unified Quellen kommen, aber dringend erscheinen. In Unternehmensumgebungen ist es angebracht, die möglichen Endpunkte schnell zu prüfen: Persistenzen zu überprüfen (geplante Aufgaben, Einträge im Register, Dienstleistungen), EDR-Aufzeichnungen für verdächtige Netzwerkverbindungen und Abflusssignale zu überprüfen und Kompromissindikatoren zu suchen, die die Forschung von Huntress detailliert beschreiben. Die privaten Benutzer, die NexShield installiert haben, müssen verstehen, dass das Entfernen nur der Erweiterung nicht die Entfernung aller schädlichen Teile gewährleistet; es wird empfohlen, die Systemreinigung mit aktuellen Sicherheitstools und, wenn möglich, professionelle Hilfe zu beenden.
Auf der vorbeugenden Ebene, die Einschränkung der freien Installation von Erweiterungen in Unternehmensausrüstung durch Gruppenrichtlinien oder weiße Listen, die Bildung von Vorlagen über das Risiko, Befehle von der Zwischenablage zu kleben und die Aufrechterhaltung aktueller Erkennungs- und Antwortlösungen sind Maßnahmen, die die Angriffsfläche reduzieren. Darüber hinaus sind die Überprüfung und Begrenzung von Kontoberechtigungen und rotierenden Anmeldeinformationen, wenn es Anzeichen von Intrusion gibt, wesentliche Schritte.
Diese Kampagne erinnert an zwei einfache, aber leistungsfähige Lektionen: die erste, dass Browser-Erweiterungen können als effektive Kompromissvektoren als bösartige Anhaftung werden; die zweite, die Eile ist der Verbündete des Angreifers. Wenn etwas Sie bittet, einen Befehl auszuführen, um Ihren Computer "fixieren", stoppen und konsultieren Sie zuverlässige Quellen, bevor Sie handeln. Um die Art der Betrug, die hier ausgenutzt werden, besser zu verstehen - technische Support-Scams und die Verwendung von alarmistischen Nachrichten, um unsichere Aktionen zu zwingen - Microsoft-Ressourcen, wie man technische Support-Scams erkennen kann nützlich sein: Microsoft Guide.
Die Forschung von Huntress setzt den Schauspieler nach dieser Kampagne unter dem Namen "KongTuke" und schlägt eine Verschiebung zu lukrativen Zielen vor: Unternehmensnetzwerke. Dies ist eine beunruhigende Entwicklung, aber die Auswirkungen können durch solide Politiken, Sensibilisierung und Früherkennung minimiert werden. Wenn Sie davon betroffen sind, konsultieren Sie den technischen Bericht von Huntress und wenden Sie sich an Ihr Sicherheitsteam oder Profis, wenn Sie auf Vorfälle zur umfassenden Reinigung reagieren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...