Новая вредоносная кампания эксплуатирует желание пользователей избавиться от рекламы, предлагая фальшивые расширения. Атака начинается с имитации популярного блокировщика и заканчивается полным контролем над системой через сложные скрипты PowerShell.

Пользователи сталкиваются с угрозой при поиске инструментов для блокировки рекламы. Злоумышленники распространяют расширение Nex Shield, которое является копией легального uBlock Origin Light. Основное отличие заключается в модифицированном файле background.js, содержащем вредоносный код.

Разработчики вредоносного ПО предусмотрели механизмы скрытия активности. Расширение использует Chrome API для задержки активации на 60 минут после установки. По истечении этого времени программа инициирует искусственный сбой системы. Код запускает бесконечный цикл, пытаясь создать один миллиард соединений через Chrome.runtime. Этот процесс полностью исчерпывает ресурсы компьютера и приводит к падению браузера или операционной системы.

После перезагрузки системы злоумышленники используют методы социальной инженерии. Пользователь видит всплывающее окно с предложением «исправить» возникшую ошибку браузера. Для этого жертве предлагается скопировать и выполнить длинную команду PowerShell, которая активирует основной этап заражения.

Атака строится на технике Living off the Land, предполагающей использование легитимных инструментов Windows для обхода средств защиты. Согласно данным исследователей из команды Huntress, злоумышленники копируют стандартную утилиту finger.exe и переименовывают её в CRT.exe. Этот файл устанавливает соединение с сервером управления и выполняет полученные инструкции. Маскировка под системный файл позволяет вредоносной активности оставаться незамеченной для встроенных механизмов мониторинга.

Злоумышленник, известный под псевдонимом Konguk, разделяет цели в зависимости от типа зараженной машины. Если компьютер подключен к корпоративному домену, на него устанавливается бэкдор Modello Rat. На домашние ПК отправляется тестовая полезная нагрузка, использующая алгоритм генерации доменов (DGA). Modello Rat написан на языке Python и использует RC4-шифрование для связи с командными серверами по IP-адресам 170.168.103.208 и 158.247.252.178. Инструмент позволяет удалённо запускать исполняемые файлы, библиотеки DLL и скрипты PowerShell.

Вредоносная программа обладает развитой системой защиты от анализа. Перед загрузкой основного модуля сервер проверяет окружение на наличие виртуальных машин и песочниц. Система создает цифровой «отпечаток» устройства: на обычном ПК этот показатель составляет около 6,8 миллиарда единиц, тогда как в среде анализа он превышает 200 миллиардов. В случае обнаружения исследовательской среды сервер не отправляет данные. Для обеспечения автозагрузки Modello Rat прописывается в реестре HKCU под именами, имитирующими легитимное ПО, такое как Spotify или Adobe.

• Отключить или ограничить использование устаревших системных утилит, таких как finger.exe.
• Регулярно проверять ключи автозагрузки в реестре HKCU на наличие подозрительных записей.
• Обеспечить мониторинг сетевого трафика для выявления подозрительных соединений с C2-серверами и активности DGA.
• Критически оценивать список разрешений, запрашиваемых браузерными расширениями при установке.

Для удаления Modello Rat из системы предусмотрена внутренняя команда ID7, которая позволяет вредоносному ПО стереть собственные следы по сигналу атакующего.