Cybercriminelen misbruiken een valse adblocker-extensie om gebruikers te misleiden en hen zelf schadelijke opdrachten te laten uitvoeren. De kwaadaardige extensie, genaamd NexShield, veroorzaakt bewust browsercrashes en vormt zo de opstap naar een nieuwe variant van de beruchte ClickFix-aanvallen.
De campagne werd begin deze maand ontdekt en richt zich zowel op thuisgebruikers als op bedrijfsomgevingen. In het laatste geval wordt een nieuwe Python-gebaseerde remote access tool, ModeloRAT, uitgerold. NexShield werd gepromoot als een snelle, lichte en privacygerichte adblocker, zogezegd ontwikkeld door Raymond Hill, de maker van de populaire en legitieme extensie uBlock Origin, die wereldwijd meer dan 14 miljoen gebruikers telt. Die claim was volledig verzonnen.
Hoewel NexShield intussen uit de Chrome Web Store is verwijderd, hebben onderzoekers vastgesteld dat de extensie gedurende enige tijd actief werd verspreid via malvertisingcampagnes.
Onderzoekers van beveiligingsbedrijf Huntress ontdekten dat NexShield bewust een denial-of-service-situatie veroorzaakt in Chrome en Edge. Dat gebeurt door eindeloos chrome.runtime-poortverbindingen te openen, waardoor het geheugen van de browser volledig wordt uitgeput. Het resultaat laat zich raden: vastlopende tabbladen, een sterk verhoogd CPU- en geheugengebruik en een browser die uiteindelijk volledig bevriest of crasht. Vaak rest de gebruiker niets anders dan het proces geforceerd af te sluiten via Taakbeheer. Omdat de crash geen simulatie is maar écht plaatsvindt, spreken de onderzoekers van een nieuwe ClickFix-variant die ze ‘CrashFix’ hebben gedoopt.
Wanneer de gebruiker de browser opnieuw opstart, toont NexShield een misleidende pop-up met een nepwaarschuwing. Daarin wordt gesuggereerd dat het systeem ernstige problemen heeft en dat een scan nodig is om gegevensverlies te voorkomen. Wie daarop ingaat, krijgt een nieuw venster te zien met instructies om het probleem te ‘verhelpen’. Die stappen komen erop neer dat de gebruiker zelf een reeks opdrachten uitvoert in de Windows-opdrachtprompt.
Zoals bij klassieke ClickFix-aanvallen kopieert de extensie automatisch een commando naar het klembord. De gebruiker hoeft volgens de instructies enkel Ctrl+V te drukken en het commando uit te voeren. Dat zet een kettingreactie in gang waarbij via PowerShell een versluierd script wordt gedownload en uitgevoerd. Om detectie te vermijden, zit er bovendien een vertraging van 60 minuten tussen het installeren van de extensie en het uitvoeren van de schadelijke payload.
Op systemen die deel uitmaken van een domein (meestal in bedrijfsomgevingen) wordt ModeloRAT uitgerold. Die malware kan uitgebreide systeeminformatie verzamelen, PowerShell-commando’s uitvoeren, het Windows-register aanpassen, extra malware installeren en zichzelf updaten. Op niet-domeingebonden systemen, meestal thuiscomputers, ontvingen onderzoekers voorlopig enkel een “TEST PAYLOAD!!!!”-antwoord van de command-and-controlserver. Dat wijst erop dat deze slachtoffers momenteel geen prioriteit hebben of dat dit deel van de aanval nog in ontwikkeling is.
Eerder deze maand werd al een andere ClickFix-campagne ontdekt die een valse Windows-blauw scherm-crash simuleerde in de browser. Het verschil met CrashFix is dat de browser hier daadwerkelijk crasht, wat de aanval geloofwaardiger maakt. Huntress schrijft deze campagne toe aan een dreigingsactor die bekendstaat als ‘KongTuke’, actief sinds begin 2025. Volgens de onderzoekers verschuift de focus van deze groep steeds meer richting bedrijfsnetwerken, waar de potentiële opbrengst voor cybercriminelen groter is.
Gebruikers kunnen zich beschermen door extensies uitsluitend te installeren van betrouwbare uitgevers en kritisch te zijn wanneer software vraagt om handmatig opdrachten uit te voeren. Wie niet exact begrijpt wat een extern commando doet, voert het beter niet uit. Wie NexShield heeft geïnstalleerd, doet er goed aan om een grondige systeemscan uit te voeren. Het verwijderen van de extensie alleen volstaat namelijk niet: achtergebleven malware zoals ModeloRAT of andere scripts kunnen actief blijven.
Lees ook: Nieuwe ‘ClickFix’-aanval misleidt gebruikers met valse Windows-updates en malware in afbeeldingen
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
