Extensia dăunătoare este distribuită sub numele de NexShield și se maschează sub numele de uBlock Origin Lite, o versiune legitimă și de încredere a unui blocator de reclame utilizat pe scară largă. Conform analizei Huntress, extensia apare printre primele rezultate ale căutării de alternative la blocatoarele de reclame, ceea ce crește semnificativ frecvența instalării sale.
Cuprins
După instalarea în browser, NexShield nu manifestă nicio activitate suspectă . Rămâne inactiv aproximativ o oră, ceea ce creează impresia de legitimitate și reduce probabilitatea ca utilizatorul să îl dezinstaleze înainte de termen.
Atacul este activat după această perioadă inițială. În acest moment, extensia începe să consume excesiv resursele sistemului, supraîncărcând procesorul și memoria până când browserul se blochează complet. Pentru utilizator, situația seamănă cu o defecțiune tehnică gravă, fără semne evidente că este vorba de o acțiune intenționată.
După închiderea forțată și repornirea browserului, apare un avertisment fals. Acesta menționează că închiderea anterioară a fost „anormală” și sugerează efectuarea unei verificări de securitate pentru a remedia problema presupusă. După câteva minute, apare un nou ecran cu instrucțiuni detaliate pentru „remedierea erorii”, inclusiv copierea și executarea unei comenzi în sistemul de operare.
Acest pas este esențial în atac. Executând comanda, victima descarcă și instalează un script rău intenționat, care funcționează în fundal. Potrivit cercetătorilor, acest software rău intenționat permite furtul datelor stocate pe computer și oferă atacatorului controlul de la distanță, dezvăluind parole, informații personale și alte date importante.
Ce trebuie să faceți dacă extensia este instalată în Chrome sau Edge?
Dacă bănuiți că aveți instalată extensia NexShield sau o altă extensie care imită uBlock Origin Lite , primul lucru pe care trebuie să-l faceți este să o ștergeți imediat din managerul de extensii al browserului. În Chrome și Edge, accesați secțiunea de suplimente, găsiți extensia suspectă și ștergeți-o complet.
După eliminarea extensiei, este recomandat să efectuați o scanare completă a sistemului cu ajutorul unui instrument de securitate fiabil, deoarece atacul include descărcarea de software rău intenționat, care poate rămâne activ în fundal.
De asemenea, este important să schimbați toate parolele utilizate în browserul afectat, în special cele asociate cu e-mailul, conturile financiare, portofelele virtuale și serviciile bancare online .
Ce semne permit detectarea unei extensii dăunătoare?
Unele extensii prezintă semne evidente de risc chiar și atunci când sunt distribuite prin magazinele oficiale.
În primul rând, trebuie verificate permisiunile solicitate : un blocator de reclame nu trebuie să solicite acces complet la sistem, la toate site-urile vizitate sau la executarea proceselor care nu sunt legate de browser.
Comportamentul este, de asemenea, un indicator important . Utilizarea excesivă a procesorului sau a memoriei, blocarea neașteptată a browserului sau mesajele de eroare care apar fără nicio acțiune din partea utilizatorului pot indica faptul că pluginul îndeplinește funcții care nu au legătură cu scopul său inițial.
Un alt semnal de alarmă este apariția mesajelor care solicită efectuarea manuală a unor acțiuni în afara browserului . Nicio extensie legitimă nu ar trebui să solicite utilizatorului să copieze și să execute comenzi în sistemul de operare pentru a „corecta erori” sau „restabili securitatea”. Astfel de solicitări fac adesea parte din scheme de inginerie socială menite să instaleze în secret software rău intenționat.
Reamintire privind riscurile prelungirii.
Cazul NexShield subliniază unul dintre cele mai subestimate vectori de atac: extensiile pentru browsere. Distribuite prin magazinele oficiale și folosind denumiri similare cu cele ale instrumentelor cunoscute, aceste suplimente pot deveni porți de acces pentru campanii de amploare de furt de date .
De asemenea, este important de menționat că niciun blocator de reclame legitim nu ar trebui să solicite executarea manuală a comenzilor sau să provoace intenționat erori în sistem. Verificarea numelui exact al dezvoltatorului, a numărului de descărcări și a permisiunilor solicitate sunt unele dintre puținele metode eficiente de combatere a acestor fraude.
