Атака CrashFix: фальшивый блокировщик рекламы для Chrome и Edge вызывает сбой браузера и заражает ПК

Злоумышленники запустили вредоносную кампанию, в рамках которой используется поддельное расширение-блокировщик рекламы для Chrome и Edge под названием NexShield. Расширение намеренно вызывает сбой браузера, подготавливая почву для атак типа ClickFix.

Атаки были зафиксированы ранее в январе 2026 года. Жертвам доставлялся новый инструмент удаленного доступа на базе Python под названием ModeloRAT, который затем разворачивался в корпоративных средах.

Расширение NexShield, которое уже удалено из магазина Интернет-магазина Chrome, позиционировалось как высокопроизводительный и легкий блокировщик рекламы, ориентированный на конфиденциальность. В описании утверждалось, что он создан Рэймондом Хиллом (Raymond Hill) — разработчиком блокировщика uBlock Origin, которым пользуются более 14 миллионов человек.

Реальный сбой браузера и механизм атаки CrashFix

По данным исследователей из компании Huntress, занимающейся кибербезопасностью, NexShield создает в браузере состояние отказа в обслуживании (DoS). Это достигается за счет создания подключений chrome.runtime в бесконечном цикле, что приводит к исчерпанию ресурсов памяти.

В результате у пользователя наблюдаются зависшие вкладки, повышенная загрузка процессора процессом Chrome, рост потребления ОЗУ и общая потеря отзывчивости браузера. В конечном итоге Chrome или Edge зависает либо аварийно завершается, и процесс приходится принудительно завершать через «Диспетчер задач» Windows.

Именно из-за такого поведения специалисты Huntress относят эти атаки к варианту ClickFix и дали им собственное название — CrashFix.

После перезапуска браузера расширение отображает вводящее в заблуждение всплывающее окно с поддельным предупреждением и предлагает просканировать систему якобы для поиска и устранения проблемы.

В результате этих действий открывается новое окно с поддельным предупреждением о якобы обнаруженных проблемах безопасности, которые, как утверждается, угрожают данным пользователя. В сообщении приводятся инструкции по «устранению» проблемы, которые на самом деле сводятся к выполнению вредоносных команд в командной строке Windows.

В типичной для атак ClickFix манере вредоносное расширение автоматически копирует команду в буфер обмена и предлагает пользователю просто нажать Ctrl+V, а затем выполнить вставленную команду в командной строке (Command Prompt).

Команда для «исправления» проблемы представляет собой цепочку действий, которая через удаленное подключение запускает обфусцированный PowerShell-скрипт. Этот скрипт загружает и выполняет дополнительный вредоносный код.

В попытке отмежевать расширение от вредоносной активности и усложнить обнаружение атаки, полезная нагрузка запускается с задержкой в 60 минут после установки NexShield.

Цели атак и рекомендации по защите

Для хостов, входящих в домен и характерных для корпоративных сред, злоумышленник доставляет ModeloRAT. Данный инструмент способен выполнять разведку системы, запускать PowerShell-команды, вносить изменения в реестр Windows, загружать дополнительные полезные нагрузки и самостоятельно обновляться.

Список команд, поддерживаемых ModeloRAT. Источник: Huntress

Для хостов, не входящих в домен (как правило, это домашние компьютеры), сервер управления и контроля возвращал сообщение «TEST PAYLOAD!!!!». По словам исследователей Huntress, это указывает либо на низкий приоритет таких жертв, либо на то, что данный вектор атаки все еще находится в стадии доработки.

Ранее в январе другая компания Securonix зафиксировала еще одну атаку ClickFix, в которой в браузере жертвы имитировался экран «синего экрана смерти» Windows (BSOD) за счет злоупотребления полноэкранным режимом. Однако в случае CrashFix сбой браузера является настоящим, что делает атаку значительно более убедительной.

Исследователи также опубликовали полноценный технический отчет, посвященный всей атаке CrashFix и полезным нагрузкам, которые распространяются этим способом. В документе подробно описываются многочисленные этапы цепочки заражения, а также возможности ModeloRAT — от закрепления в системе и сбора разведывательной информации до выполнения команд, формирования «отпечатка» системы и определения уровня привилегий на скомпрометированном устройстве.

По оценке Huntress, проанализированная атака CrashFix связана с злоумышленником KongTuke, чья активность находится в поле зрения компании с начала 2025 года. Исследователи считают, что KongTuke все больше ориентируется на корпоративные сети, которые представляют больший интерес для киберпреступников с финансовой точки зрения.

Попадание под атаки ClickFix можно предотвратить, если четко понимать последствия выполнения любых внешних команд в системе. Кроме того, установка расширений браузера только от проверенных издателей и из надежных источников позволяет защититься как от CrashFix, так и от других подобных угроз.

Пользователям, которые установили NexShield, рекомендуется выполнить полную очистку системы, поскольку простое удаление расширения не устраняет все вредоносные компоненты, включая ModeloRAT и другие загруженные скрипты.