Tehditin Özeti
Son zamanlarda bir kötü amaçlı reklam kampanyasının, sahte bir reklam engelleyici eklenti olan NexShield kullanarak tarayıcıyı çökertme hedefli saldırılara yol açtığı bildirilmektedir. Bu saldırılar, şirket ortamlarında kullanılmak üzere tasarlanmış yeni bir Python tabanlı uzaktan erişim aracı olan ModeloRAT‘ı dağıtmak için gerçekleştirilmektedir.
Saldırı Nasıl Çalışıyor?
NexShield eklentisi, Tarayıcıda bir hizmet red (DoS) durumu oluşturarak, ‘chrome.runtime’ port bağlantılarını sonsuz bir döngüde oluşturarak bellek kaynaklarını tüketmektedir. Bu durum sonucunda;
- Donmuş sekmeler,
- Yüksek CPU kullanımı,
- Artan RAM kullanımı,
- Genel olarak tarayıcının yanıt vermemesi gibi sorunlar ortaya çıkmaktadır.
Sonuç olarak, Chrome/Edge uygulamaları yanıt vermez hale gelir ve Windows Görev Yöneticisi aracılığıyla kapatılmaları gerekmektedir. Huntress, bu saldırıları, geleneksel ClickFix saldırılarına yeni bir varyant olan ‘CrashFix’ olarak adlandırmaktadır.
Tarayıcının yeniden başlatılmasının ardından, eklenti kullanıcıya sahte bir uyarı mesajı gösterir ve sistemi taramasını önerir. Bu durumda açılan yeni pencerede kullanıcıdan zararlı komutları Windows komut istemcisine yapıştırması istenir.
Etkilenen Sistemler
Kötü amaçlı eklenti, kurumsal ortamlar için tasarlanmış sistemlerde ModeloRAT adlı bir uzaktan erişim aracı yüklemektedir. Bu araç, aşağıdaki yeteneklere sahiptir:
- Sistem keşfi,
- PowerShell komutları çalıştırma,
- Kayıt defterini değiştirme,
- Ekstra payload’lar ekleme,
- Kendini güncelleme.
Kurumsal olmayan ortamlar, genellikle ev kullanıcıları için hedef alındığında, komut kontrol sunucusu “TEST PAYLOAD!!!!” mesajı vermekte olup, bu durum düşüklük veya üzerinde çalışılan bir durum anlamına gelebilir.
Çözüm ve Korunma
CVE kodları ya da versiyon bilgileri bu saldırılarla doğrudan ilgili olmayabilir, ancak aşağıdaki adımlar kullanıcıları korumakta etkilidir:
- Bilinmeyen kaynaklardan veya güvensiz yayıncılardan eklenti yüklemekten kaçının.
- Sistem üzerinde gerçekleştirilecek dış komutların etkilerini iyice anlayın.
- Ne gerekiyorsa, tarayıcı eklentilerini ve yazılımları sürekli güncel tutun.
NexShield eklentisini yükleyen kullanıcıların, tüm sistem temizliği gerçekleştirmesi önerilmektedir, çünkü yalnızca eklentinin kaldırılması, ModeloRAT ve diğer zararlı script’lerin kaldırılmasını garanti etmemektedir.
Sonuç
Bu saldırıların önlenmesi için, eklentileri sadece güvenilir kaynaklardan yüklemek ve sürekli güncellemeleri takip etmek kritik öneme sahiptir. Kullanıcılar, NexShield eklentisini kullandıysa sistemlerini dikkatlice kontrol etmelidir. Kendi sistem güvenliğinizi sağlamak için, anında bir güvenlik taraması yaparak her hangi bir zararlı yazılımın kalıntılarını temizlemeyi unutmayın.
