【安全资讯】虚假广告拦截扩展引发浏览器崩溃，为ClickFix攻击铺路

概要：

网络安全领域再次出现新型攻击手法，威胁行为者利用伪装成知名广告拦截工具uBlock Origin的虚假Chrome和Edge扩展程序NexShield，对用户发起复杂的ClickFix攻击。这种攻击不仅导致浏览器崩溃，更在企业环境中部署了新型远程访问工具ModeloRAT，对企业和个人用户的数据安全构成严重威胁。

主要内容：

近期，一场恶意广告活动被发现使用名为NexShield的虚假广告拦截扩展程序。该扩展程序伪装成由知名开发者Raymond Hill创建的隐私优先、高性能工具，实则通过创建无限循环的'chrome.runtime'端口连接，耗尽浏览器内存资源，导致标签页冻结、CPU和RAM使用率飙升，最终迫使浏览器崩溃。安全公司Huntress将这种导致真实崩溃的攻击变种称为“CrashFix”。

浏览器崩溃重启后，NexShield会显示一个欺骗性弹窗，谎称检测到安全问题并建议用户扫描系统。用户点击后，会看到一个伪造的安全警告，并引导其在Windows命令提示符中执行恶意命令。攻击者将命令复制到剪贴板，诱导用户通过“Ctrl+V”粘贴并运行，从而触发一个经过混淆的PowerShell脚本，该脚本会远程下载并执行恶意载荷。

为了逃避检测，恶意载荷在安装NexShield后有60分钟的执行延迟。对于企业环境中的域加入主机，攻击者会部署功能强大的ModeloRAT。该远程访问工具能够进行系统侦察、执行PowerShell命令、修改注册表、投递额外载荷以及自我更新。对于非域主机（通常是家庭用户），命令控制服务器则返回测试信息。Huntress将此攻击归因于名为“KongTuke”的威胁行为者，并指出其正将目标转向利润更丰厚的企业网络。