Pasivadinęs reklamos blokatoriumi, jis įdiegia kenkėjišką programą į jūsų įrenginį ir gauna prieigą prie jūsų duomenų. Mes paaiškinsime, kaip jį atpažinti ir kaip jis veikia.
Priedas ne tik sukelia „Chrome“ ir „Edge“ įšaldymą, bet ir įdiegia kenkėjišką programą, kuri vagia konfidencialią informaciją, įskaitant visų tipų paskyrų slaptažodžius ir prieigos duomenis prie virtualių piniginių ir internetinės bankininkystės.
Grėsmę nustatė kibernetinio saugumo įmonės „Huntress“ tyrėjai, kurie šią ataką priskiria kibernetiniams nusikaltėliams, žinomiems pseudonimu „KongTuke“.
Naudojama technika vadinama ClickFix, o šis konkretus variantas buvo pavadintas CrashFix dėl to, kaip jis imituoja kritines naršyklės gedimus, kad manipuliuotų aukomis.
Štai kaip veikia suklastotas plėtinys, imituojantis populiarų reklamų blokatorių
Kenkėjiškas priedas platinas pavadinimu NexShield ir maskuojasi kaip uBlock Origin Lite, tikra ir patikima plačiai naudojamo reklamų blokatoriaus versija. Remiantis „Huntress“ analize, šis plėtinys atsiranda tarp pirmųjų rezultatų, kai vartotojai ieško alternatyvų reklamos blokavimui, o tai žymiai padidina jo įdiegimo dažnį.
Pridėtas prie naršyklės, „NexShield“ iš karto neparodo jokio įtartino elgesio. Jis lieka neaktyvus maždaug valandą, o tai sustiprina jo teisėtą išvaizdą ir sumažina tikimybę, kad vartotojas jį pašalins prevenciškai.
Po šio pradinio laikotarpio ataka aktyvuojama. Tuo metu plėtinys pradeda per daug naudoti sistemos išteklius, perkrauna CPU ir atmintį, kol naršyklė visiškai sugenda. Vartotojui situacija primena rimtą techninį gedimą, be aiškių požymių, kad tai yra tyčinis veiksmas.
Priverstai uždaryti ir iš naujo paleisti naršyklę, pasirodo suklastotas įspėjamasis pranešimas. Įspėjimas nurodo, kad ankstesnis išjungimas buvo „nenormalus“, ir siūlo atlikti saugumo patikrinimą, kad būtų ištaisyta tariama problema. Po kelių minučių pasirodo naujas ekranas su išsamiomis instrukcijomis, kaip „ištaisyti klaidą“, įskaitant komandos kopijavimą ir vykdymą operacinėje sistemoje.
Šis žingsnis yra pagrindinis atakos elementas. Vykdydama komandą, auka atsisiunčia ir įdiegia kenkėjišką scenarijų, kuris veikia fone. Tyrėjų teigimu, ši kenkėjiška programa leidžia pavogti kompiuteryje saugomus duomenis ir suteikia užpuolėjui nuotolinio valdymo galimybę, atskleidžiant slaptažodžius, asmeninę informaciją ir kitus svarbius duomenis.
Ką daryti, jei plėtinys įdiegtas „Chrome“ arba „Edge“ naršyklėje
Jei įtariate, kad turite „NexShield“ arba kitą plėtinį, kuris imituoja „uBlock Origin Lite“, pirmas žingsnis yra nedelsiant jį pašalinti iš naršyklės plėtinių tvarkyklės. „Chrome“ ir „Edge“ naršyklėse tiesiog eikite į papildinių skyrių, suraskite įtartiną pavadinimą ir visiškai jį pašalinkite.
Pašalinus plėtinį, rekomenduojama atlikti visą sistemos skenavimą patikima saugumo priemone, nes ataka apima kenkėjiškos programos atsisiuntimą, kuri vis dar gali būti aktyvi fone.
Taip pat svarbu pakeisti visus slaptažodžius, naudojamus paveiktoje naršyklėje, ypač tuos, kurie susiję su el. paštu, finansinėmis sąskaitomis, virtualiais piniginiais ir namų bankininkyste.
Kokie požymiai leidžia aptikti kenkėjišką plėtinį?
Kai kurie plėtiniai rodo aiškius rizikos požymius net ir tada, kai platinami per oficialias parduotuves.
Vienas iš pirmųjų dalykų, kuriuos reikia patikrinti, yra prašomi leidimai: reklamos blokavimo programa neturėtų reikalauti visiško prieigos prie sistemos, visų lankomų svetainių ar procesų vykdymo už naršyklės ribų.
Elgesys taip pat yra svarbus požymis. Per didelis procesoriaus ar atminties naudojimas, netikėti naršyklės gedimai ar klaidų pranešimai, kurie pasirodo be jokio išankstinio vartotojo veiksmo, gali rodyti, kad papildinys atlieka funkcijas, nesusijusias su jo pradiniu tikslu.
Kitas požymis yra pranešimų, kuriuose prašoma atlikti veiksmus už naršyklės ribų, atsiradimas. Joks teisėtas plėtinys neturėtų prašyti vartotojo kopijuoti ir vykdyti komandas operacinėje sistemoje, kad „ištaisytų klaidas“ ar „atstatytų saugumą“. Tokios instrukcijos dažnai yra socialinės inžinerijos schemų, skirtų slapta įdiegti kenkėjišką programinę įrangą, dalis.
Prisiminimas apie papildinių keliamą riziką
NexShield atvejis išryškina vieną iš vartotojų labiausiai nuvertintų atakų vektorių: naršyklės papildinius. Nors jie platinami per oficialias parduotuves ir naudoja pavadinimus, panašius į gerai žinomų įrankių, šie papildiniai gali tapti vartais didelio masto informacijos vagystės kampanijoms.
Taip pat svarbu atkreipti dėmesį, kad joks teisėtas reklamos blokavimo įrankis neturėtų reikalauti rankiniu būdu vykdyti komandas ar tyčia sukelti sistemos gedimus. Tikslus kūrėjo pavadinimo, atsisiuntimų skaičiaus ir prašomų leidimų patikrinimas yra vieni iš nedaugelio veiksmingų barjerų, apsaugančių nuo šio tipo apgaulių.
