Gevaarlijke nep-adblocker kapt je browser en leegt je digitale kluis
Een kwaadaardige browserextensie doet zich voor als populaire advertentieblokkeerder, maar installeert in werkelijkheid malware op je apparaat. Zodra geïnstalleerd, krijgt deze nep-tool toegang tot gevoelige informatie – inclusief wachtwoorden voor al je online accounts, cryptowallets en internetbankieren.
De extensie veroorzaakt niet alleen crashes in Chrome en Edge, maar fungeert als digitale dief die stilletjes al je inloggegevens verzamelt. Beveiligingsexperts van Huntress ontdekten deze dreiging en linken de aanval aan cybercriminelen die opereren onder de naam KongTuke.
De gebruikte methode heet ClickFix, maar deze specifieke variant kreeg de bijnaam CrashFix vanwege de manier waarop het nep-browserproblemen simuleert om slachtoffers te manipuleren.
Zo werkt de valse extensie die zich voordoet als betrouwbare adblocker
De schadelijke add-on verspreidt zich onder de naam NexShield en maskeert zich als uBlock Origin Lite – een legitieme en betrouwbare versie van een veelgebruikte advertentieblokkeerder. Volgens analyse van Huntress verschijnt deze extensie tussen de topresultaten wanneer gebruikers zoeken naar alternatieven voor advertentieblokkering, wat de installatiefrequentie aanzienlijk verhoogt.
Eenmaal toegevoegd aan je browser vertoont NexShield aanvankelijk geen enkel verdacht gedrag. Het blijft ongeveer een uur volledig inactief, wat de legitieme uitstraling versterkt en de kans verkleint dat je het preventief verwijdert.
Na deze initiële periode wordt de aanval geactiveerd. Op dat moment begint de extensie overdreven systeembronnen te gebruiken, waarbij CPU en geheugen worden overbelast totdat je browser volledig vastloopt. Voor jou als gebruiker lijkt de situatie op een ernstige technische storing, zonder duidelijke tekenen dat dit opzettelijk gebeurt.
Wanneer je gedwongen bent om je browser te sluiten en opnieuw op te starten, verschijnt er een valse waarschuwing. Deze melding claimt dat de eerdere crash “abnormaal” was en stelt voor om een veiligheidscontrole uit te voeren om het vermeende probleem op te lossen. Na enkele minuten toont een nieuw scherm gedetailleerde instructies over hoe je “de fout kunt herstellen”, inclusief het kopiëren en uitvoeren van een opdracht in je besturingssysteem.
Deze stap vormt het cruciale element van de aanval. Door de opdracht uit te voeren, download en installeer je een kwaadaardig script dat op de achtergrond draait. Volgens onderzoekers stelt deze malware aanvallers in staat om gegevens van je computer te stelen en geeft het hen mogelijkheden voor bediening op afstand, waarmee wachtwoorden, persoonlijke informatie en andere essentiële gegevens worden blootgelegd.
Wat te doen als de extensie geïnstalleerd is in Chrome of Edge
Vermoed je dat NexShield of een andere extensie die zich voordoet als uBlock Origin Lite op je systeem staat? De eerste stap is om het onmiddellijk te verwijderen uit je extensiebeheerder. In Chrome en Edge ga je gewoon naar het extensiegedeelte, zoek je de verdachte naam en verwijder je deze volledig.
Na het verwijderen van de extensie wordt aanbevolen om een volledige systeemscan uit te voeren met betrouwbare beveiligingssoftware, omdat de aanval het downloaden van malware omvat die mogelijk nog steeds actief is op de achtergrond.
Het is ook essentieel om alle wachtwoorden te wijzigen die gebruikt werden in de gecompromitteerde browser, vooral die gerelateerd aan e-mail, financiële accounts, virtuele portemonnees en internetbankieren.
Welke signalen helpen je om kwaadaardige extensies te herkennen
Bepaalde extensies vertonen duidelijke risicosignalen, zelfs wanneer ze via officiële stores worden verspreid.
Een van de eerste dingen om te controleren zijn de gevraagde machtigingen: een advertentieblokkeerder zou geen volledige toegang tot je systeem nodig moeten hebben, noch tot alle bezochte websites of het uitvoeren van processen buiten de browser.
Gedrag is ook een belangrijk signaal. Overmatig CPU- of geheugengebruik, onverwachte browsercrashes of foutmeldingen die verschijnen zonder voorafgaande actie van jouw kant kunnen erop wijzen dat een extensie functies uitvoert die niets te maken hebben met het oorspronkelijke doel.
Een ander waarschuwingsteken is het verschijnen van meldingen die vragen om acties buiten de browser uit te voeren. Geen enkele legitieme extensie zou je moeten vragen om opdrachten te kopiëren en uit te voeren in je besturingssysteem om “fouten te herstellen” of “beveiliging te herstellen”. Dergelijke instructies maken vaak deel uit van social engineering-schema’s die bedoeld zijn om stiekem malware te installeren.
Waarschuwing over risico’s van browserextensies
Het NexShield-incident benadrukt een van de meest onderschatte aanvalsvectoren door gebruikers: browserextensies. Hoewel ze via officiële stores worden verspreid en namen gebruiken die lijken op bekende tools, kunnen deze extensies toegangspoorten worden voor grootschalige gegevensdiefstal-campagnes.
Het is ook belangrijk om te benadrukken dat geen enkele legitieme advertentieblokkeringstool zou vereisen dat je handmatig opdrachten uitvoert of opzettelijk systeemcrashes veroorzaakt. Het nauwkeurig controleren van de ontwikkelaarsnaam, het aantal downloads en de gevraagde machtigingen behoort tot de weinige effectieve barrières tegen dit soort fraude.
