Chrome および Edge 上の悪意のある広告ブロック拡張機能は、ClickFix 攻撃を使用して、システムをスパイしたり乗っ取ったりできるリモート アクセス ペイロードをデバイスに感染させます。
NexShield は、定評があり信頼性の高い uBlock Origin の開発者によるプライバシー重視の広告ブロッカーであることを売り込みました。しかし、セキュリティ会社 Huntress が発見したように、この拡張機能は「CrashFix」と呼ばれる ClickFix 攻撃のバリエーションを開始します。これは、偽のセキュリティ警告と悪意のあるコマンド プロンプトの前に発生するブラウザーのクラッシュを指します。
BleepingComputer が説明しているように、NexShield 拡張機能はデバイスのメモリを使い果たすサービス拒否 (DoS) ループを作成し、最終的に Chrome または Edge をフリーズさせてクラッシュさせます。ブラウザが再起動すると、拡張機能は「閲覧データを侵害する可能性のある潜在的なセキュリティ脅威」を特定するための「スキャンの実行」ボタンを含むポップアップを表示し、ユーザーはクラッシュの原因がセキュリティ上の問題であると信じ込ませます。
この手順を実行すると、Windows コマンド プロンプトでコマンドを実行するための手順が記載された別の偽のウィンドウが表示されます。これは ClickFix 攻撃です。偽のエラー メッセージ、CAPTCHA、コマンド プロンプトに依存してユーザーを騙し、自分のデバイスにマルウェアを導入させるソーシャル エンジニアリングの一種です。
この場合、拡張機能はコマンドをクリップボードにコピーし、ユーザーが偽のポップアップにキーストロークを入力すると、悪意のあるスクリプトをダウンロードして実行します。検出を回避するために 60 分間遅延した後、NexShield はコマンドを実行し、フィンガープリント システムを実行し、権限を昇格できるペイロードを配信します。
この記事の執筆時点では、NexShield は Chrome ウェブストアから削除されていることに注意してください。
NexShield をインストールしている場合は、それをアンインストールし、システム全体のクリーンアップを実行して、デバイスからそのペイロードを削除する必要があります。 (Mac と PC からマルウェアを削除するためのステップバイステップのガイドがあります。)
同様の攻撃に対する一般的な保護として、信頼できるソースからのみブラウザ拡張機能をインストールしてください。これは、Chrome ウェブストアや他のブラウザで悪意のあるアドオンに遭遇しないことを保証するものではありません。ハッカーが承認プロセスをすり抜け、拡張機能に信頼済みまたは検証済みのラベルを付けることさえあるためです。一部の拡張機能は、後で悪意のあるコードを挿入され、本質的に攻撃能力を「目覚めさせ」ます。
新しい拡張機能をインストールする前に、作成日、レビューと評価、さらには名前を注意深く確認してください。悪意のあるアドオンは信頼できるアドオンになりすます (または、NexShield の場合のように、uBlock Origin などの正規のブランドに便乗する) ことが多いためです。不審なアクセス許可に注意してください。拡張機能が過剰に見えるデータやアクションへのアクセスを要求したり、コア機能に無関係な場合は、マルウェアである可能性があります。
最後に、理解できない Web サイトや通信からコピーしたコードやコマンドをマシン上で決して実行しないでください。また、指示は必ず独立した信頼できるソースで確認してください。この特定のキャンペーンに関して、Huntress にはシステム上で検出できる侵害の兆候が他にもあります。