В сети выявлена новая мошенническая кампания, связанная с распространением вредоносных расширений для браузеров Google Chrome и Microsoft Edge. Зловредное расширение под названием NexShield маскируется под легитимный блокировщик рекламы и вызывает сбои в работе браузера, а также пытается внедрить вредоносный код на устройства пользователей.
## Детали атаки и особенности malware NexShield
Расширение NexShield позиционировалось как быстрый и защищающий приватность блокировщик рекламы, якобы созданный разработчиком Raymond Hill — создателем популярного расширения uBlock Origin. Эта ложная информация способствовала распространению NexShield через онлайн-рекламу и поисковые системы, пока оно не было удалено из Chrome Web Store. После установки расширение начинает активно злоупотреблять ресурсами браузера, создавая бесконечные внутренние соединения, вызывая зависания, увеличение нагрузки на CPU и оперативную память, что в итоге приводит к сбою или полной остановке браузера.
После перезапуска браузера пользователю показывается тревожное окно с предупреждением о «серьезных угрозах безопасности». Следуя инструкциям, пользователь запускает команду в командной строке, которая на самом деле активирует скрытую PowerShell-скрипт, скачивающую и исполняющую вредоносное ПО. Задержка выполнения вредоносных команд до часа после установки затрудняет обнаружение и предотвращение атаки.
## Хронология и основные этапы кампании
— **Обнаружение расширения NexShield** — как фальшивого блокировщика рекламы с ложной информацией о создателе (Raymond Hill).
— **Распространение через онлайн-рекламу** — до удаления из Chrome Web Store.
— **Заражение устройств** — автоматический запуск злоупотреблений браузера, сбои и зависания.
— **Манипуляции с пользователем** — появление фальшивых предупреждений и команд для «лечения» системы.
— **Запуск вредоносных сценариев** — загрузка и установка malware через PowerShell с задержкой выполнения.
| Этап | Действие | Описание |
|———|—————|—————|
| Обнаружение | Ложные заявления о создателе | Обман через ложные сведения о разработчике |
| Распространение | Онлайн-реклама | Продвижение через поисковики и рекламные платформы |
| Инфекция | Установка расширения | Автоматический запуск в браузерах Chrome и Edge |
| Манипуляции | Всплывающие предупреждения | Вымышленные угрозы безопасности и инструкции по «лечению» |
| Вредоносные действия | Выполнение PowerShell | Загрузка и запуск malware, задержка выполнения |
## Реакция и комментарии сторон
Позиции специалистов и реакции компаний
Представитель Microsoft Threat Protection, Танмай Ганачария, заявил: «Microsoft Defender обеспечивает встроенную защиту от вредоносных расширений и их поведения. Наши технологии постоянно обновляются для выявления таких угроз, и мы рекомендуем следовать лучшим практикам безопасности». В то же время, Google пока не сделал официальных заявлений по данному случаю, однако рекомендуется проверять источники расширений перед установкой.
Несмотря на слухи о возможной поддержке этой кампании со стороны некоторых разработчиков, официальный ответ Google отсутствует. Важно помнить, что никакое доверенное расширение не попросит вас запускать команды в командной строке или PowerShell для исправления ошибок — это явный признак мошенничества.
## Контекст и потенциальные последствия
Эта атака демонстрирует, как злоумышленники используют психологический нажим и технические трюки для манипуляции пользователями. Связь между фальшивыми предупреждениями и запуском вредоносных сценариев делает такие кампании особенно опасными. В корпоративных сетях подобные угрозы могут стать каналом для получения удаленного доступа через инструменты типа ModeloRAT, что позволяет злоумышленникам контролировать системы, добывать конфиденциальную информацию и внедрять дополнительные вредоносные программы.
Для пользователей важно соблюдать меры предосторожности: проверять источники расширений, избегать запуска команд по инструкциям из подозрительных окон и использовать современные антивирусные решения. Также рекомендуется своевременно обновлять систему и использовать услуги мониторинга данных для защиты от утечек личной информации.
Дарья Тимошенко
Автор. Технологический обозреватель. Пишет о цифровых трендах, инновациях и гаджетах. Разбирает сложное просто, следит за будущим уже сегодня. Все посты