详细内容或原文请订阅后点击阅览
虚假扩展程序会导致浏览器崩溃,诱骗用户感染自己
虚假广告拦截器会导致您的浏览器崩溃,然后使用 ClickFix 技巧让您自行运行恶意软件。
来源:Malwarebytes Labs 博客研究人员发现了另一种本着 ClickFix 精神使用的方法:CrashFix。
ClickFix 活动使用令人信服的诱饵(历史上称为“人工验证”屏幕)来诱骗用户从剪贴板粘贴命令。在伪造 Windows 更新屏幕、针对 Mac 用户的视频教程和许多其他变体之后,攻击者现在引入了一个浏览器扩展程序,可以故意使您的浏览器崩溃。
研究人员发现了一个著名广告拦截器的盗版,并设法将其以“NexShield – Advanced Web Protection”的名称进入官方 Chrome Web Store。严格来说,使浏览器崩溃确实提供了一定程度的保护,但这并不是用户通常想要的。
如果用户安装浏览器扩展,它会致电 nexsnield[.]com(注意拼写错误)以跟踪安装、更新和卸载。该扩展程序使用 Chrome 的内置警报 API(应用程序编程接口)等待 60 分钟,然后再开始其恶意行为。这种延迟使得用户不太可能立即将安装和随后的崩溃联系起来。
暂停后,扩展程序会启动拒绝服务循环,反复打开 chrome.runtime 端口连接,耗尽设备资源,直到浏览器变得无响应并崩溃。
重新启动浏览器后,用户会看到一个弹出窗口,告诉他们浏览器异常停止(这是事实,但并非意外),并提供有关如何防止将来发生这种情况的说明。
它向用户提供了现在经典的说明,打开 Win+R,按 Ctrl+V,然后按 Enter 键“修复”问题。这是典型的 ClickFix 行为。该扩展已在剪贴板上放置了恶意 PowerShell 或 cmd 命令。通过按照说明操作,用户执行该恶意命令并有效感染自己的计算机。
根据指纹检查来查看设备是否已加入域,目前有两种可能的结果。