Группировка KongTuke начала массовое распространение вредоносного расширения NexShield для Chrome и Edge. Об этом сообщили исследователи кибербезопасности Huntress.
По данным специалистов, вредонос маскируется под сверхлегкий блокировщик рекламы. Расширение намеренно перегружает память и процессор, вызывая зависание вкладок и полный крах браузера, что вынуждает пользователя искать способ восстановления системы.
После принудительного перезапуска NexShield выводит поддельное окно безопасности с предложением просканировать систему.
Под видом решения проблемы софт предлагает скопировать команду в буфер обмена и выполнить ее в командной строке Windows. В реальности этот шаг запускает скрипт, который загружает в систему новый троян удаленного доступа — ModeloRAT.
По данным экспертов, основной удар направлен на корпоративный сектор. Вирус имеет задержку в 60 минут, чтобы избежать подозрений, и активируется преимущественно в доменных сетях организаций. Оказавшись внутри, ModeloRAT позволяет злоумышленникам проводить глубокую разведку, изменять системный реестр, устанавливать стороннее ПО и скрытно управлять компьютером жертвы.
Исследователи из Huntress отметили, что простое удаление расширения из браузера не решит проблему, так как троян находится глубоко в системе.
Владельцам ПК они порекомендовали провести полную проверку антивирусом и никогда не выполнять команды, предложенные веб-сайтами или расширениями.
