Una extensión maliciosa para Chrome y Edge bloquea deliberadamente el navegador para lanzar un ataque de tipo ClickFix
Una extensión maliciosa para Chrome y Edge bloquea deliberadamente el navegador para engañar a sus víctimas y conseguir que introduzcan código malicioso en un nuevo ataque de tipo ClickFix.
Los analistas de la empresa de ciberseguridad Huntress han identificado un nuevo ataque de tipo ClickFix que vinculan con el actor de amenazas KongTuke, que se distribuye desde la extensión maliciosa NexShield.
Esta extensión aparece como una copia del bloqueador de anuncios legítimo uBlock Origin Lite, y se promociona en los resultados de Google ante cualquiera que busque uno de estos servicios, pudiendo instalarse en Edge y Chrome.
Una vez instalada la extensión, el ataque activa un temporizador que se activa como a los 60 minutos, para evitar levantar sospechas. Es entonces cuando el navegador queda bloqueado, como consecuencia de un ataque de denegación de servicio al llevar al límite recursos como la CPU o la memoria.
Ante el bloqueo, las víctimas se ven obligadas a forzar el cierre del navegador y a reiniciarlo. Al reiniciar, además, se muestra un aviso de seguridad sobre un cierre anómalo y se aconseja realizar un escáner para localizar el problema.
Entonces, muestra otro mensaje, en el que insta a las víctimas a seguir unas instrucciones para solucionar el problema, lo que incluye copiar un comando y ejecutarlo. Y al hacerlo, en realidad se está permitiendo la descarga e instalación de un script malicioso que infecta el equipo y se oculta en él para exfiltrar información.
Por la forma de actuar, Huntress ha denominado el ataque de ClickFix como CrashFix, como explican en el blog de la firma de seguridad.
