Egy hamis reklámblokkoló pusztítása
A NexShieldet megbízhatónak álcázták: azt állították, hogy a jól ismert uBlock Origin fejlesztője készítette, és adatvédelmi fókuszú, gyors és kisméretű blokkolóként hirdették – mindezt 14 milliós felhasználótáborra hivatkozva. Valójában azonban a bővítmény végtelen számú chrome.runtime portot nyit, ami túlterheli a memóriát, és teljesen használhatatlanná teszi a böngészőt. A Chrome vagy Edge folyton lefagy, jelentősen megnő a CPU- és RAM-használat, a felhasználó kénytelen bezárni az ablakot a Feladatkezelővel.
Figyelmeztetés hamis javításra és további veszélyek
Indítás után a NexShield megtévesztő felugró ablakot jelenít meg, amely hamis hibajelentést ad, és rendszervizsgálatot javasol a felhasználónak. Egy újabb ablakban további „biztonsági problémákat” jelez, ezek „javításaként” a felhasználót ártalmas parancs másolására és futtatására veszi rá. A parancs egy rejtett PowerShell-szkriptet indít el egy távoli szerverről, amely letölti és futtatja a kártékony kódot – gyakran egyórás késleltetéssel, hogy a kapcsolatot elrejtsék.
ModeloRAT és vállalati célpontok
A vállalati hálózatokra csatlakozó gépeken a támadók ModeloRAT-ot telepítenek: ezzel feltérképezhetik a rendszert, PowerShell-parancsokat futtathatnak, a rendszerleíró adatbázist szerkeszthetik, további kártevőket juttathatnak a gépre, vagy önmagukat frissíthetik. Otthoni gépeken, úgy tűnik, még nem élesítették a támadásokat – egyszerű tesztüzenetet küldenek vissza.
Egyre célzottabb támadások a vállalatoknál
A támadások mögött a KongTuke nevű csoport áll, amely egyre inkább vállalati hálózatokra fókuszál, mivel ezek jóval nagyobb bevétellel kecsegtetnek a kiberbűnözők számára. A fertőzéslánc lépéseit részletesen feltárták a szakértők: a gépen jogosultságszinteket, a böngészőt és az adatokat derítik fel, majd a támadó teljes hozzáférést szerezhet.
Hogyan védekezhetsz?
Soha ne telepíts ismeretlen fejlesztőtől böngészőbővítményt! Mindig ellenőrizd, mit futtatsz parancssorban. Ha már feltelepítetted a NexShieldet, mindenképpen futtass teljes rendszerellenőrzést, mert az eltávolítása után is kártékony programok maradhatnak a gépeden – beleértve a ModeloRAT-ot és más rosszindulatú szkripteket.
