Aktualności

Fałszywe rozszerzenie powoduje awarię przeglądarek, aby nakłonić użytkowników do zainfekowania swoich komputerów.

autor: Pieter Arntz | 20 stycznia 2026 r.
Laptop wyświetlający ostrzeżenie

Naukowcy odkryli kolejną metodę wykorzystywaną w duchu ClickFix: CrashFix.

Kampanie ClickFix wykorzystują przekonujące przynęty — historycznie ekrany „weryfikacji ludzkiej” — aby nakłonić użytkownika do wklejenia polecenia ze schowka. Po fałszywych ekranach Windows , samouczkach wideo dla Mac i wielu innych wariantach, atakujący wprowadzili teraz rozszerzenie przeglądarki, które celowo powoduje awarię przeglądarki.

Badacze odkryli podróbkę znanego programu blokującego reklamy i zdołali umieścić ją w oficjalnym sklepie Chrome Store pod nazwą „NexShield – Advanced Protection”. Ściśle rzecz biorąc, awaria przeglądarki zapewnia pewien poziom ochrony, ale nie jest to coś, czego zazwyczaj oczekują użytkownicy.

Jeśli użytkownicy zainstalują rozszerzenie przeglądarki, wysyła ono informacje do nexsnield[.]com (zwróć uwagę na błąd ortograficzny) w celu śledzenia instalacji, aktualizacji i odinstalowań. Rozszerzenie wykorzystuje wbudowany interfejs API alarmów (interfejs programowania aplikacji) Chrome, aby odczekać 60 minut przed rozpoczęciem szkodliwego działania. Opóźnienie to zmniejsza prawdopodobieństwo, że użytkownicy natychmiast połączą fakt instalacji z następującym po niej awarią.

Po tej przerwie rozszerzenie uruchamia pętlę typu denial-of-service, która wielokrotnie otwiera połączenia portu chrome.runtime, wyczerpując zasoby urządzenia, aż przeglądarka przestaje odpowiadać i ulega awarii.

Po ponownym uruchomieniu przeglądarki użytkownicy widzą wyskakujące okienko z informacją, że przeglądarka zatrzymała się w sposób nieprawidłowy — co jest prawdą, ale nie jest niczym zaskakującym — oraz instrukcjami, jak zapobiec takiej sytuacji w przyszłości.

Wyświetla użytkownikowi klasyczne już instrukcje dotyczące otwierania Win+R, naciśnij Ctrl+V, i naciśnij Enter, aby „naprawić” problem. Jest to typowe zachowanie ClickFix. Rozszerzenie umieściło już złośliwe polecenie PowerShell lub cmd w schowku. Postępując zgodnie z instrukcjami, użytkownik wykonuje to złośliwe polecenie i skutecznie infekuje swój komputer.

Na podstawie sprawdzenia odcisków palców w celu ustalenia, czy urządzenie jest podłączone do domeny, obecnie możliwe są dwa wyniki.

Jeśli komputer jest podłączony do domeny, jest traktowany jako urządzenie firmowe i infekowany trojanem zdalnego dostępu (RAT) napisanym w języku Python, nazwanym ModeloRAT. W przypadku komputerów niepodłączonych do domeny ładunek jest obecnie nieznany, ponieważ badacze otrzymali jedynie odpowiedź „TEST PAYLOAD!!!!”. Może to oznaczać, że trwają prace nad rozwojem lub inne działania związane z identyfikacją, które sprawiły, że komputer testowy nie nadawał się do tego celu.

Jak zachować bezpieczeństwo

W momencie pisania tego artykułu rozszerzenie nie było już dostępne w Chrome Store, ale z pewnością pojawi się ponownie pod inną nazwą. Oto kilka wskazówek, które pomogą Ci zachować bezpieczeństwo:

  • Jeśli szukasz programu blokującego reklamy lub innych przydatnych rozszerzeń przeglądarki, upewnij się, że instalujesz oryginalną wersję. Cyberprzestępcy uwielbiają podszywać się pod zaufane oprogramowanie.
  • Nigdy nie uruchamiaj kodu ani poleceń skopiowanych ze stron internetowych, wiadomości e-mail lub komunikatów, chyba że ufasz źródłu i rozumiesz cel działania. Zweryfikuj instrukcje niezależnie. Jeśli strona internetowa nakazuje wykonanie polecenia lub czynności technicznej, przed przystąpieniem do działania sprawdź oficjalną dokumentację lub skontaktuj się z pomocą techniczną.
  • Zabezpiecz swoje urządzenia. Korzystaj z aktualnego rozwiązania antywirusowego działającego w czasie rzeczywistym, wyposażonego w komponent ochrony sieciowej.
  • Zdobądź wiedzę na temat ewoluujących technik ataków. Świadomość, że ataki mogą pochodzić z nieoczekiwanych źródeł i ewoluować, pomaga zachować czujność. Czytaj dalej naszego bloga!

Wskazówka dla profesjonalistów: bezpłatny program Malwarebytes Browser Guard jest bardzo skutecznym blokerem reklam i chroni przed złośliwymi stronami internetowymi. Ostrzega również, gdy strona internetowa kopiuje coś do schowka i dodaje mały fragment kodu, aby uniemożliwić wykonanie jakichkolwiek poleceń.

Nie tylko informujemy o zagrożeniach - my je usuwamy

Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.

O autorze

Pieter Arntz

Pieter Arntz

Badacz złośliwego oprogramowania

Przez 12 lat z rzędu był Microsoft MVP w dziedzinie bezpieczeństwa konsumentów. Mówi w czterech językach. Pachnie bogatym mahoniem i oprawionymi w skórę książkami.

NAJNOWSZE ARTYKUŁY

AI
Ręka sięga w dół, aby chwycić jedną gwiazdkę z zapisanego hasła.

Hasła generowane przez sztuczną inteligencję stanowią zagrożenie dla bezpieczeństwa.

Luty 19, 2026

Hasła generowane przez sztuczną inteligencję są „bardzo przewidywalne” i nie są prawdziwie losowe, co sprawia, że cyberprzestępcy mogą je łatwiej złamać.

Aktualności
Logo Tenga

Producent artykułów intymnych Tenga ujawnił dane klientów

Luty 19, 2026

Atak phishingowy na pracownika firmy Tenga mógł spowodować ujawnienie danych klientów z USA. Klienci powinni uważać na próby phishingu związane z sekstorsją.

Naruszenia danych
Logo Betterment

Wyciek danych Betterment może być poważniejszy, niż sądziliśmy

Luty 18, 2026

Obecnie wydaje się, że naruszenie to ma znacznie poważniejszy charakter. Wyciekające dane zawierają bogate informacje osobiste i finansowe, które mogą zostać wykorzystane przez phisherów.

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa