Browserextensies doen lang niet altijd wat ze beloven. Dat geldt ook voor NexShield, een vermeende adblocker voor Chrome-browsers. In werkelijkheid laat de extensie je webbrowser bewust crashen om zogenoemde ClickFix-aanvallen uit te voeren.
Slimme vermomming misleidt gebruikers
Opvallend is de tactiek die de aanvallers gebruiken. In plaats van instructies te tonen op een kwaadaardige webpagina, die vaak lijkt op een Windows Update-scherm, vermomt de aanval zich als een adblocker die je browser laat vastlopen. Daarbij doen de makers zich voor als Raymond Hill, de ontwikkelaar achter de populaire uBlock Origin-adblockers.
Natuurlijk klopt daar niets van. De aanvallers misbruiken de goede naam van Hill om gebruikers te verleiden de NexShield-extensie te installeren. Door zich te associëren met een vertrouwde naam in de adblocker-community, verhogen de cybercriminelen de kans dat gebruikers de malafide extensie zonder argwaan installeren.
Browser bewust laten crashen
Eenmaal geïnstalleerd creëert de extensie een oneindige lus van chrome.runtime-taken. Die zorgen voor een extreem hoog RAM- en CPU-gebruik, waarna de browser na verloop van tijd vanzelf crasht. Vanaf dat moment begint de werkelijke ClickFix-aanval.
Na de crash opent de extensie een extra venster met de nepmelding dat de browser ‘abnormaal’ is afgesloten. Er zouden kwetsbaarheden op de pc zijn ontdekt die je browsergegevens in gevaar brengen. Een snelle scan zou zogenaamd inzicht geven in die problemen.
Valse kwetsbaarheden leiden tot malware-installatie
Uiteraard worden er daarna nepkwetsbaarheden gepresenteerd die je volgens de aanvallers moet oplossen door de stappen op het scherm te volgen. De extensie kopieert zelfs een commando naar het klembord dat je moet uitvoeren via Windows Run. Wat veel gebruikers niet beseffen is dat ze hiermee ModeloRAT-malware op hun pc installeren.
De presentatie van deze valse beveiligingswaarschuwingen is bewust professioneel vormgegeven om gebruikers een vals gevoel van urgentie te geven. Door druk uit te oefenen via vermeende beveiligingsrisico’s, hopen de aanvallers dat slachtoffers overhaast handelen zonder de instructies kritisch te bekijken.
Gevaarlijke mogelijkheden van ModeloRAT
Via ModeloRAT kunnen aanvallers het systeem verkennen, PowerShell-commando’s uitvoeren en extra malware of andere schadelijke software installeren. Het doel is duidelijk: het buitmaken van gevoelige en persoonlijke gegevens.
Onderzoekers van cybersecuritybedrijf Huntress waarschuwen bovendien dat de hackersgroepering achter de aanval, KongTuke genaamd, zich steeds vaker richt op het binnendringen van bedrijfsnetwerken. Dit maakt de dreiging extra zorgwekkend, omdat een geslaagde aanval niet alleen individuele gebruikers treft, maar ook complete organisaties kan compromitteren.
Blijf wantrouwend bij onverwachte instructies
De aanval onderstreept opnieuw hoe belangrijk het is om voorzichtig te zijn met acties die een webpagina of applicatie van je vraagt. Voer nooit commando’s uit die je via een willekeurige website of extensie krijgt voorgeschoteld, zeker niet via Windows Run. Via Win+R kunnen immers applicaties op je pc worden gestart of geïnstalleerd, met mogelijk verstrekkende gevolgen.
Wie al slachtoffer is geworden van de CrashFix-aanval, zoals Huntress die noemt, krijgt het advies om de pc volledig op te schonen. Maak eerst een back-up van je bestanden op een los extern opslagmedium en installeer daarna het systeem opnieuw. Dit is de enige manier om er zeker van te zijn dat alle sporen van de malware volledig zijn verwijderd.
Tips om jezelf te beschermen
Om vergelijkbare aanvallen te voorkomen, is het verstandig alleen browserextensies te installeren van geverifieerde ontwikkelaars via de officiële Chrome Web Store. Controleer altijd de recensies en het aantal downloads voordat je een extensie installeert. Wees extra alert bij extensies die claimen afkomstig te zijn van bekende ontwikkelaars, maar een andere naam of uitgever tonen. Een gezonde dosis scepsis bij onverwachte foutmeldingen of beveiligingswaarschuwingen kan je veel ellende besparen.
