虚假的广告拦截扩展程序会导致浏览器崩溃,从而引发 ClickFix 攻击
虚假的广告拦截扩展程序会导致浏览器崩溃,从而引发 ClickFix 攻击
恶意广告活动利用名为 NexShield 的虚假 Chrome 和 Edge 广告拦截扩展程序,故意使浏览器崩溃,为 ClickFix 攻击做准备。
这些攻击在本月初被发现,并引入了一种名为 ModeloRAT 的基于 Python 的新型远程访问工具,该工具已部署在企业环境中。
NexShield 扩展程序已从 Chrome 网上应用商店下架。该扩展程序被宣传为一款以隐私为先、高性能、轻量级的广告拦截器,由 Raymond Hill 创建,他也是拥有超过 1400 万用户的合法 uBlock Origin 广告拦截器的原开发者。
NexShield网站
来源:Huntress
托管安全公司 Huntress 的研究人员表示,NexShield 通过在无限循环中创建“chrome.runtime”端口连接并耗尽其内存资源,在浏览器中造成拒绝服务 (DoS) 状况。
这会导致标签页卡死、Chrome 进程 CPU 使用率过高、内存使用量增加,以及浏览器整体无响应。最终,Chrome/Edge 会卡死或崩溃,只能通过 Windows 任务管理器强制结束进程。
因此,Huntress 将这些攻击称为 ClickFix 的一种变体,并将其命名为“CrashFix”。
当浏览器重启时,该扩展程序会显示一个欺骗性的弹出窗口,显示虚假警告并建议扫描系统以查找问题。
这样做会打开一个新窗口,其中包含一个虚假的警告,称检测到了威胁用户数据的安全问题,并提供了修复该问题的说明,而这些说明涉及在 Windows 命令提示符中执行恶意命令。
按照 ClickFix 的惯用伎俩,该恶意扩展程序会将命令复制到剪贴板,并指示用户按下“Ctrl+V”键,然后在命令提示符中运行该命令。
“修复”命令是一系列命令,它通过远程连接触发一个混淆的 PowerShell 脚本,该脚本会下载并执行恶意脚本。
为了将扩展程序与恶意活动区分开来并逃避检测,有效载荷在安装 NexShield 后有 60 分钟的执行延迟。
对于特定于企业环境的域加入主机,威胁行为者会提供 ModeloRAT,该程序可以执行系统侦察、执行 PowerShell 命令、修改注册表、引入其他有效载荷以及更新自身。
ModeloRAT 支持的命令
ModeloRAT 支持的命令
来源:Huntress
Huntress研究人员表示,对于非域主机(通常是家庭用户),命令和控制服务器返回“测试有效载荷!!!!”消息,表明优先级较低或正在处理中。
本月初,网络安全公司 Securonix 发现了另一起 ClickFix 攻击,该攻击 利用全屏模式在目标浏览器中模拟 Windows 蓝屏死机;然而,在 CrashFix 的案例中,浏览器崩溃是真实的,这使得它更具说服力。
研究人员提供了一份详尽的技术报告,全面阐述了CrashFix攻击及其传播的有效载荷。报告详细描述了感染链的各个阶段以及ModeloRAT的功能,从建立持久化状态、收集侦察信息到执行命令、识别系统指纹以及确定其在受感染系统上的权限。
Huntress 将此次分析的 CrashFix 攻击归因于名为“KongTuke”的威胁行为者,该公司自 2025 年初以来就一直在关注该行为者的活动。
根据最近的发现,研究人员认为 KongTuke 正在演变,并且对企业网络越来越感兴趣,因为企业网络对网络犯罪分子来说更有利可图。
为了避免落入 ClickFix 攻击的陷阱,务必确保您充分了解任何在系统上执行的外部命令的影响。此外,从可信的发布商或来源安装浏览器扩展程序也能有效抵御 CrashFix 攻击或其他威胁。
安装了 NexShield 的用户应该执行完整的系统清理,因为卸载该扩展程序并不能删除所有有效载荷,例如 ModeloRAT 或其他恶意脚本。
这些攻击在本月初被发现,并引入了一种名为 ModeloRAT 的基于 Python 的新型远程访问工具,该工具已部署在企业环境中。
NexShield 扩展程序已从 Chrome 网上应用商店下架。该扩展程序被宣传为一款以隐私为先、高性能、轻量级的广告拦截器,由 Raymond Hill 创建,他也是拥有超过 1400 万用户的合法 uBlock Origin 广告拦截器的原开发者。
NexShield网站
来源:Huntress
托管安全公司 Huntress 的研究人员表示,NexShield 通过在无限循环中创建“chrome.runtime”端口连接并耗尽其内存资源,在浏览器中造成拒绝服务 (DoS) 状况。
这会导致标签页卡死、Chrome 进程 CPU 使用率过高、内存使用量增加,以及浏览器整体无响应。最终,Chrome/Edge 会卡死或崩溃,只能通过 Windows 任务管理器强制结束进程。
因此,Huntress 将这些攻击称为 ClickFix 的一种变体,并将其命名为“CrashFix”。
当浏览器重启时,该扩展程序会显示一个欺骗性的弹出窗口,显示虚假警告并建议扫描系统以查找问题。
这样做会打开一个新窗口,其中包含一个虚假的警告,称检测到了威胁用户数据的安全问题,并提供了修复该问题的说明,而这些说明涉及在 Windows 命令提示符中执行恶意命令。
按照 ClickFix 的惯用伎俩,该恶意扩展程序会将命令复制到剪贴板,并指示用户按下“Ctrl+V”键,然后在命令提示符中运行该命令。
“修复”命令是一系列命令,它通过远程连接触发一个混淆的 PowerShell 脚本,该脚本会下载并执行恶意脚本。
为了将扩展程序与恶意活动区分开来并逃避检测,有效载荷在安装 NexShield 后有 60 分钟的执行延迟。
对于特定于企业环境的域加入主机,威胁行为者会提供 ModeloRAT,该程序可以执行系统侦察、执行 PowerShell 命令、修改注册表、引入其他有效载荷以及更新自身。
ModeloRAT 支持的命令
ModeloRAT 支持的命令
来源:Huntress
Huntress研究人员表示,对于非域主机(通常是家庭用户),命令和控制服务器返回“测试有效载荷!!!!”消息,表明优先级较低或正在处理中。
本月初,网络安全公司 Securonix 发现了另一起 ClickFix 攻击,该攻击 利用全屏模式在目标浏览器中模拟 Windows 蓝屏死机;然而,在 CrashFix 的案例中,浏览器崩溃是真实的,这使得它更具说服力。
研究人员提供了一份详尽的技术报告,全面阐述了CrashFix攻击及其传播的有效载荷。报告详细描述了感染链的各个阶段以及ModeloRAT的功能,从建立持久化状态、收集侦察信息到执行命令、识别系统指纹以及确定其在受感染系统上的权限。
Huntress 将此次分析的 CrashFix 攻击归因于名为“KongTuke”的威胁行为者,该公司自 2025 年初以来就一直在关注该行为者的活动。
根据最近的发现,研究人员认为 KongTuke 正在演变,并且对企业网络越来越感兴趣,因为企业网络对网络犯罪分子来说更有利可图。
为了避免落入 ClickFix 攻击的陷阱,务必确保您充分了解任何在系统上执行的外部命令的影响。此外,从可信的发布商或来源安装浏览器扩展程序也能有效抵御 CrashFix 攻击或其他威胁。
安装了 NexShield 的用户应该执行完整的系统清理,因为卸载该扩展程序并不能删除所有有效载荷,例如 ModeloRAT 或其他恶意脚本。
关于作者
评论0次