Kampanju vodi hakerska grupa KongTuke, a zasniva se na metodi poznatoj kao CrashFix, varijanti ClickFix napada, u kojoj se žrtva navodi da sama pokrene zlonamjernu komandu vjerujući da popravlja grešku u sistemu.
Napad počinje instalacijom lažnog ad blockera pod imenom NexShield, gotovo identične kopije popularnog dodatka uBlock Origin Lite.
Da bi izgledao potpuno legitimno, hakeri su kao autora dodatka lažno naveli programera uBlock-a, Rejmonda Hila i uključili linkove ka nepostojećoj veb stranici za pomoć. NexShield je objavljen u zvaničnoj Chrome Web Store prodavnici sa imejl adresom programera [email protected].
Nakon instalacije, NexShield miruje oko sat vremena, kako ne bi izazvao sumnju prije nego što pokrene DoS napad na računar. Rezultat je zamrzavanje tabova i na kraju potpuno rušenje pregledača.
Drugim riječima, napadači namjerno izazivaju kvar da bi kasnije ponudili „popravku“.
Nakon ponovnog pokretanja veb pregledača, korisniku se prikazuje profesionalno dizajnirano upozorenje sa porukom da se veb pregledač „neočekivano zaustavio“ i da je potrebno pokrenuti bezbjednosnu provjeru.
Ako korisnik klikne na predloženu opciju, pojavljuje se lažna poruka „Security issues detected!“ sa instrukcijom da pritisne Win + R i nalijepi komandu pomoću Ctrl + V. U tom trenutku, ekstenzija je već neprimjetno kopirala zlonamjernu komandu u clipboard.
Ta komanda zloupotrebljava legitimni Windows alat finger.exe, koji se privremeno preimjenuje u ct.exe i koristi za preuzimanje malvera direktno na računar. Žrtva, praktično, sama pokreće infekciju vjerujući da rješava tehnički problem.
Ono što instalira je ModeloRAT koji napadačima obezbjeđuje dugotrajan pristup sistemu. Malver omogućava praćenje aktivnosti na računaru, krađu lozinki i podataka i daljinsku kontrolu sistema.
Da bi ostao neprimjetan, sakriva se pod nazivima koji liče na legitimne programe, poput “Spotify47” ili “Adobe2841”.
Ono što ovu kampanju čini posebno opasnom jeste način na koji aktivno izbjegava bezbjednosne analize. Malver provjerava da li se izvršava u istraživačkom okruženju, skenira više od 50 različitih bezbjednosnih alata, proverava tipične korisničke naloge iz laboratorija, poput „John Doe“. Ako otkrije da se nalazi na računaru istraživača, prestaje sa radom ili šalje lažnu poruku „TEST PAYLOAD!!!!“, kako bi zbunio analitičare i usporio istragu.
Huntress navodi da kampanja trenutno cilja prije svega poslovne korisnike i korporativna okruženja, dok kućni korisnici zasad nisu primarna meta.
Stručnjaci savetuju korisnicima da uvijek provjeravaju autore ekstenzija prije instalacije, budu oprezni i sa dodacima iz zvaničnih prodavnica, ignorišu sva upozorenja koja traže ručno pokretanje komadni u sistemu, nikada ne pokreću naredbe koje im nepoznata aplikacija nudi kao „popravku“, piše Informacija.
Saznajte sve o najvažnijim vijestima i događajima, pridružite se našoj Viber zajednici ili čitajte na Google News.