Fake adblocker laat slachtoffers zelf malware installeren via Finger-protocol

In dit artikel:

Microsoft waarschuwt voor een nieuwe malafide campagne waarbij een browser‑extensie in de Chrome Web Store zich voordoet als de adblocker “uBlock Origin Lite” en vervolgens de browser doelbewust laat crashen. De aanval, door Microsoft aangeduid als "CrashFix" en een variant van het eerdere "ClickFix", begint bij kwaadaardige advertenties die naar de vervalste extensie verwijzen. Na installatie veroorzaakt de extensie een denial‑of‑service op de browser en toont daarna een pop‑up die gebruikers aanspoort een zogenaamd herstelcommando uit te voeren.

De aanvallers maken hierbij gebruik van het verouderde Finger‑protocol om een PowerShell‑script op het systeem te laten draaien; dat script downloadt vervolgens aanvullende code die een remote access trojan (RAT) installeert, waardoor de aanvallers volledige controle over de machine krijgen. Microsoft benadrukt dat dit voorbeeld toont hoe criminelen steeds vaker vertrouwde gebruikersacties en reeds aanwezige systeemtools misbruiken om beveiliging te omzeilen. Securitybedrijf Huntress publiceerde eerder al een analyse van deze techniek.

Advies: installeer alleen extensies van betrouwbare uitgevers, voer geen onbekende commando’s uit en scan systemen bij verdachte symptomen.