Новости

Поддельное расширение вызывает сбой браузеров, чтобы обманом заставить пользователей заразить свои устройства

Автор: Pieter Arntz | 20 января 2026 г.
Ноутбук с предупреждением

Исследователи обнаружили еще один метод, используемый в духе ClickFix: CrashFix.

Кампании ClickFix используют убедительные приманки — исторически это были экраны «Проверка человека» — чтобы обманом заставить пользователя вставить команду из буфера обмена. После поддельных экранов Windows , видеоуроков для Mac и многих других вариантов, злоумышленники теперь представили расширение для браузера, которое специально вызывает сбой браузера.

Исследователи обнаружили подделку известного блокировщика рекламы и сумели разместить ее в официальном магазине Chrome Store под названием «NexShield – Advanced Protection». Строго говоря, сбой браузера действительно обеспечивает некоторую степень защиты, но это не то, что обычно ищут пользователи.

Если пользователи устанавливают расширение для браузера, оно связывается с nexsnield[.]com (обратите внимание на опечатку) для отслеживания установок, обновлений и удалений. Расширение использует встроенный ChromeAPI Alarms (интерфейс прикладного программирования) для ожидания 60 минут перед началом своего вредоносного поведения. Эта задержка снижает вероятность того, что пользователи сразу же установят связь между установкой и последующим сбоем.

После этой паузы расширение запускает цикл отказа в обслуживании, который повторно открывает соединения порта chrome.runtime, истощая ресурсы устройства, пока браузер не перестанет отвечать и не выйдет из строя.

После перезапуска браузера пользователи видят всплывающее окно с сообщением о том, что браузер завершил работу ненормально (что соответствует действительности, но не является неожиданным), и с инструкциями о том, как предотвратить подобную ситуацию в будущем.

Он представляет пользователю классические инструкции по открытию Win+R, нажмите Ctrl+V, и нажмите Enter, чтобы «исправить» проблему. Это типичное поведение ClickFix. Расширение уже поместило вредоносную команду PowerShell или cmd в буфер обмена. Следуя инструкциям, пользователь выполняет эту вредоносную команду и фактически заражает свой компьютер.

На основе проверки отпечатков пальцев, чтобы определить, присоединено ли устройство к домену, в настоящее время существует два возможных результата.

Если компьютер подключен к домену, он рассматривается как корпоративное устройство и заражается трояном удаленного доступа (RAT) на языке Python, получившим название ModeloRAT. На компьютерах, не подключенных к домену, полезный груз в настоящее время неизвестен, поскольку исследователи получили только ответ «TEST PAYLOAD!!!!». Это может означать, что разработка продолжается или что были обнаружены другие отпечатки, которые сделали тестовый компьютер непригодным.

Как оставаться в безопасности

На момент написания статьи это расширение уже не было доступно в Chrome Store, но, несомненно, оно вновь появится под другим названием. Вот несколько советов, которые помогут вам оставаться в безопасности:

  • Если вы ищете блокировщик рекламы или другие полезные расширения для браузера, убедитесь, что вы устанавливаете подлинную версию. Киберпреступники любят выдавать себя за надежное программное обеспечение.
  • Никогда не запускайте код или команды, скопированные с веб-сайтов, из электронных писем или сообщений, если вы не доверяете источнику и не понимаете цель действия. Проверяйте инструкции самостоятельно. Если веб-сайт предлагает вам выполнить команду или техническое действие, прежде чем приступить к этому, проверьте официальную документацию или обратитесь в службу поддержки.
  • Защитите свои устройства. Используйте актуальное решение для защиты от вредоносных программ в режиме реального времени с компонентом веб-защиты.
  • Изучайте развивающиеся методы атак. Понимание того, что атаки могут исходить из неожиданных источников и развиваться, помогает сохранять бдительность. Продолжайте читать наш блог!

Совет от профессионала: бесплатная программа Malwarebytes Browser Guard является очень эффективным блокировщиком рекламы и защищает вас от вредоносных веб-сайтов. Он также предупреждает вас, когда веб-сайт копирует что-либо в ваш буфер обмена, и добавляет небольшой фрагмент кода, чтобы сделать любые команды бесполезными.

Мы не просто сообщаем об угрозах - мы их устраняем

Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.

Об авторе

Питер Арнтц

Питер Арнтц

Исследователь в области вредоносного ПО

12 лет подряд был MVP Microsoft в области потребительской безопасности. Владеет четырьмя языками. Пахнет богатым красным деревом и книгами в кожаных переплетах.

ПОСЛЕДНИЕ СТАТЬИ

AI
Рука тянется вниз, чтобы схватить одну звездочку из написанного пароля.

Пароли, сгенерированные искусственным интеллектом, представляют угрозу безопасности

Февраль 19, 2026

Пароли, сгенерированные искусственным интеллектом, «легко предсказуемы» и не являются действительно случайными, что упрощает их взлом киберпреступниками.

Новости
Логотип Tenga

Производитель интимных товаров Tenga утекла информация о данных клиентов

Февраль 19, 2026

Фишинговая атака на сотрудника компании Tenga могла привести к утечке данных американских клиентов. Клиентам следует быть начеку в отношении фишинговых попыток с использованием сексуального шантажа.

Утечки данных
Логотип Betterment

Утечка данных Betterment может быть серьезнее, чем мы думали

Февраль 18, 2026

Теперь эта утечка выглядит гораздо более серьезной. Утечка данных включает в себя подробную личную и финансовую информацию, которую могут использовать фишеры.

Значок вкладчика

Вкладчики

Значок центра угроз

Центр защиты от угроз

Значок подкастов

Подкаст

Значок глоссария

Глоссарий

Значок мошенничества

Аферы