Neppe adblocker laat Google Chrome bewust crashen om malware te installeren
Opvallend is de tactiek die de aanvallers gebruiken. In plaats van instructies te tonen op een malafide webpagina, die vaak lijkt op een Windows Update-scherm, vermomt de aanval zich als een adblocker die je browser laat vastlopen. Daarbij doen de makers zich voor als Raymond Hill, de ontwikkelaar achter de populaire uBlock Origin-adblockers.
Natuurlijk klopt daar niets van. De aanvallers misbruiken de goede naam van Hill om gebruikers te verleiden de NexShield-extensie te installeren.
Browser bewust laten crashen
Eenmaal geïnstalleerd creëert de extensie een oneindige loop van chrome.runtime-taken. Die zorgen voor een extreem hoog RAM- en CPU-gebruik, waarna de browser na verloop van tijd vanzelf crasht. Vanaf dat moment begint de werkelijke ClickFix-aanval.
Na de crash opent de extensie een extra venster met de nepmelding dat de browser ‘abnormaal’ is afgesloten. Er zouden kwetsbaarheden op de pc zijn ontdekt die je browsergegevens in gevaar brengen. Een snelle scan zou zogenaamd inzicht geven in die problemen.
Uiteraard worden er daarna nepkwetsbaarheden gepresenteerd die je volgens de aanvallers moet oplossen door de stappen op het scherm te volgen. De extensie kopieert zelfs een commando naar het klembord dat je moet uitvoeren via Windows Run. Wat veel gebruikers niet beseffen is dat ze hiermee ModeloRAT-malware op hun pc installeren.
Wat aanvallers met ModeloRAT kunnen doen
Via ModeloRAT kunnen aanvallers het systeem verkennen, PowerShell commando’s uitvoeren en extra malware of andere schadelijke software installeren. Het doel is duidelijk: het buitmaken van gevoelige en persoonlijke gegevens.
Onderzoekers van cybersecuritybedrijf Huntress waarschuwen bovendien dat de hackersgroepering achter de aanval, KongTuke genaamd, zich steeds vaker richt op het binnendringen van bedrijfsnetwerken.
Blijf wantrouwig bij onverwachte instructies
De aanval onderstreept opnieuw hoe belangrijk het is om voorzichtig te zijn met acties die een webpagina of applicatie van je vraagt. Voer nooit commando’s uit die je via een willekeurige website of extensie krijgt voorgeschoteld, zeker niet via Windows Run. Via Win+R kunnen immers applicaties op je pc worden gestart of geïnstalleerd, met mogelijk verstrekkende gevolgen.
Wie al slachtoffer is geworden van de CrashFix aanval, zoals Huntress die noemt, krijgt het advies om de pc volledig op te schonen. Maak eerst een back-up van je bestanden op een los extern opslagmedium en installeer daarna het systeem opnieuw.
Wil je, dan kan ik ook nog een kortere Discover-vriendelijke intro schrijven of een alternatieve titel die nóg harder klikt.
