Gefährliche NexShield-Erweiterung im Chrome Web Store entdeckt
Arkadiy Andrienko
Eine gefährliche Erweiterung für die Browser Chrome und Edge wurde online entdeckt. Sie wurde aktiv unter dem Deckmantel des offiziellen Adblockers des Entwicklers des beliebten uBlock Origin-Add-ons verteilt. Das Dienstprogramm, das als NexShield im offiziellen Chrome Web Store angeboten wurde, stellte sich als Virus heraus, und die Folgen der Installation könnten eine ernsthafte Bedrohung darstellen.
Wie Spezialisten von Huntress festgestellt haben, präsentierte sich die NexShield-Erweiterung als ein „leichtes und privates“ Tool zum Blockieren von Werbung, und in ihrer Beschreibung wurde der Name von Raymond Hill erwähnt – dem echten Entwickler von uBlock Origin. In Wirklichkeit war es Teil einer bösartigen Kampagne, die sich gegen die Nutzer richtete. Der Angriffsmechanismus begann damit, dass die Erweiterung absichtlich den Browser deaktivierte und endlose Verbindungen über chrome.runtime herstellte, was zu einem plötzlichen Anstieg der RAM-Nutzung und der CPU-Last führte. Infolgedessen hörten die Tabs auf zu reagieren, und der Browser fror entweder ein oder stürzte ab.
Nach einem erzwungenen Neustart des Browsers wurde dem Benutzer eine gefälschte Warnung über ein „kritisches Sicherheitsproblem“ angezeigt, und um es zu „beheben“, wurde er aufgefordert, einen Befehl in der Windows-Eingabeaufforderung auszuführen, den die Erweiterung automatisch in die Zwischenablage kopierte. Der Benutzer musste ihn nur einfügen. Der ausgeführte Befehl initiierte ein komplexes Skript, das bösartigen Code herunterlud und installierte.
Der entfernte Trojaner ModeloRAT wurde auf das Gerät geliefert. Er ist in der Lage, Systeminformationen zu sammeln, Befehle auszuführen, die Registrierung zu bearbeiten, zusätzliche Module herunterzuladen und sich selbst zu aktualisieren. Um die Analyse zu erschweren, begann die bösartige Aktivität nicht sofort, sondern erst 60 Minuten nach der Installation der Erweiterung.
Experten empfehlen den Nutzern, Erweiterungen nur aus vertrauenswürdigen Quellen und von offiziellen Entwicklern zu installieren. Derzeit wurde die NexShield-Anwendung aus dem offiziellen App-Store entfernt. Diejenigen, die NexShield bereits installiert haben, sollten einen vollständigen Systemscan durchführen, da das bloße Entfernen der Erweiterung aus dem Browser nicht garantiert, dass alle bösartigen Komponenten beseitigt werden.
-
![]()
Kritischer WinRAR Beta-Patch stoppt Malware, die aus Archiven schlüpft -
![]()
Hacker dringen in Instagram ein: 17,5 Millionen Kontodaten online geleakt -
![]()
Gerücht: Hacker sollen bis zu 900 GB interne Ubisoft-Daten gestohlen haben und erpressen das Unternehmen -
![]()
Eine Schwachstelle wurde in Google Fast Pair entdeckt, die es Hackern ermöglicht, die meisten Bluetooth-Ohrhörer zu kompromittieren. -
![]()
Microsoft wirft eine Sicherheitsleine: Antivirus-Updates werden für Windows 10 fortgesetzt
