Une campagne de publicité malveillante utilise une fausse extension Chrome et Edge bloquant les publicités nommée NexShield qui bloque intentionnellement le navigateur en préparation des attaques ClickFix.
Les attaques ont été repérées plus tôt ce mois-ci et ont livré un nouvel outil d’accès à distance basé sur Python appelé ModeloRAT qui est déployé dans les environnements d’entreprise.
L’extension NexShield, qui a été supprimée du Chrome Web Store, a été présentée comme un bloqueur de publicités léger, hautes performances et axé sur la confidentialité, créé par Raymond Hill, le développeur original du bloqueur de publicités légitime uBlock Origin avec plus de 14 millions d’utilisateurs.
Des chercheurs de la société de sécurité gérée Huntress affirment que NexShield crée une condition de déni de service (DoS)dans le navigateur en créant « chrome ».connexions de ports d’exécution dans une boucle infinie et épuisant ses ressources mémoire.
Il en résulte des onglets gelés, une utilisation élevée du processeur dans le processus Chrome, une utilisation accrue de la RAM et une absence de réponse générale du navigateur. Finalement, Chrome / Edge se bloque ou se bloque, forçant une mise à mort via le gestionnaire des tâches de Windows.
Pour cette raison, Huntress se réfère à ces attaques comme une variante de ClickFix qu’ils ont nommée « CrashFix ».
Lorsque le navigateur est redémarré, l’extension affiche une fenêtre contextuelle trompeuse qui affiche un faux avertissement et suggère d’analyser le système pour localiser le problème.
Cela ouvre une nouvelle fenêtre avec un faux avertissement sur les problèmes de sécurité détectés qui menacent les données de l’utilisateur, avec des instructions sur la façon de résoudre le problème, qui impliquent l’exécution de commandes malveillantes dans l’invite de commande Windows.
De manière typique ClickFix, l’extension malveillante copie une commande dans le presse-papiers et demande à l’utilisateur d’appuyer simplement sur « Ctrl+V », puis de l’exécuter dans l’invite de commande.
La commande ‘fixing’ est une chaîne qui déclenche un script PowerShell obscurci via une connexion distante, qui télécharge et exécute un script malveillant.
Pour tenter de dissocier l’extension de l’activité malveillante et d’échapper à la détection, la charge utile a un délai d’exécution de 60 minutes après l’installation de NexShield.
Pour les hôtes joints au domaine spécifiques aux environnements d’entreprise, l’auteur de la menace fournit ModeloRAT, qui peut effectuer une reconnaissance du système, exécuter des commandes PowerShell, modifier le Registre, introduire des charges utiles supplémentaires et se mettre à jour.
Pour les hôtes hors domaine, qui sont normalement des utilisateurs à domicile, le serveur de commande et de contrôle a renvoyé une » CHARGE UTILE DE TEST!!!! »message, indiquant soit une faible priorité, soit un travail en cours, disent les chercheurs de Huntress.
Plus tôt ce mois-ci, la société de cybersécurité Securonix a repéré une autre attaque ClickFix qui simulait un écran BSOD Windows dans le navigateur cible en abusant du mode plein écran; cependant, dans le cas de CrashFix, le plantage du navigateur est réel, ce qui le rend plus convaincant.
Les chercheurs fournissent un rapport technique approprié sur l’ensemble de l’attaque CrashFix et les charges utiles livrées de cette manière. Ils détaillent les multiples étapes de la chaîne d’infection et les capacités de ModeloRAT, de l’établissement de la persistance et de la collecte d’informations de reconnaissance à l’exécution de commandes, aux systèmes d’empreintes digitales et à la détermination de ses privilèges sur le système compromis.
Huntress attribue l’attaque CrashFix analysée à un acteur de la menace nommé « KongTuke », dont les opérations sont sur le radar de l’entreprise depuis début 2025.
Sur la base de la récente découverte, les chercheurs pensent que KongTuke évolue et s’intéresse de plus en plus aux réseaux d’entreprise, qui sont plus lucratifs pour les cybercriminels.
Tomber dans les attaques ClickFix peut être évité en s’assurant que l’effet de toute commande externe exécutée sur le système est bien compris. De plus, l’installation d’extensions de navigateur provenant d’éditeurs ou de sources fiables devrait vous protéger des attaques CrashFix ou d’autres menaces.
Les utilisateurs qui ont installé NexShield doivent effectuer un nettoyage complet du système, car la désinstallation de l’extension ne supprime pas toutes les charges utiles, telles que ModeloRAT ou d’autres scripts malveillants.