Поддельный блокировщик рекламы ломает Chrome и заражает Windows

Екатерина Быстрова 19 Января 2026 - 14:40

Домашние пользователи

Корпорации

Windows

Блокировщики рекламы

Бесплатная блокировка рекламы

Трояны

...

Поддельный блокировщик рекламы ломает Chrome и заражает Windows

Исследователи в области кибербезопасности раскрыли детали активной киберкампании KongTuke, в которой злоумышленники пошли на весьма изобретательный шаг: они намеренно «ломают» браузер жертвы, чтобы заставить её собственноручно запустить команду заражения.

Кампанию уже окрестили CrashFix — как новую, более агрессивную эволюцию приёма ClickFix.

Атака начинается вполне буднично: пользователь ищет блокировщик рекламы и натыкается на объявление, ведущее в официальный Chrome Web Store. Там его ждёт расширение с громким названием «NexShield – Advanced Web Guardian», которое обещает защиту от рекламы, трекеров и зловредов.

На деле это почти точная копия uBlock Origin Lite, но с вредоносной начинкой. Расширение успело набрать более 5 тысяч установок, прежде чем его удалили из магазина.

После установки аддон некоторое время ведёт себя тихо — задержка активации составляет около часа. Затем оно начинает действовать: запускает атаку на ресурсы системы, создавая бесконечный цикл соединений. В результате Chrome начинает тормозить, зависает и в итоге полностью падает.

А вот дальше начинается самое интересное: при следующем запуске браузера пользователь видит фейковое предупреждение о проблеме безопасности. В нём говорится, что браузер якобы «аварийно завершил работу», и предлагается срочно запустить «сканирование».

Если согласиться, расширение показывает инструкцию: открыть окно «Выполнить» в Windows и вставить команду, уже скопированную в буфер обмена.

Именно в этот момент пользователь сам запускает следующую ступень атаки. Команда использует легитимную утилиту finger.exe, через которую загружается PowerShell-скрипт с сервера злоумышленников. Дальше — многоступенчатая цепочка с обфускацией, Base64, XOR и активной защитой от анализа.

Кампания KongTuke (она же 404 TDS, TAG-124, LandUpdate808) известна тем, что прощупывает и пробивает жертву, а затем передаёт доступ к системе другим группировкам — в том числе операторам программ-вымогателей.

Если система входит в домен, атака завершается установкой ModeloRAT — полноценного Python-RAT для Windows. Он умеет следующее:

закрепляться в системе через реестр;
шифровать C2-трафик с помощью RC4;
запускать исполняемые файлы, DLL, PowerShell и Python-скрипты;
гибко менять частоту «маяков», чтобы не привлекать внимание средств защиты.

Доменные машины явно представляют наибольший интерес — это прямой намёк на корпоративные сети как основную цель. На обычных домашних компьютерах цепочка пока заканчивается тестовым пейлоадом, что говорит о продолжающейся отладке кампании.

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 19 Января 2026 - 10:43

Windows Ошибки конфигурации программ Домашние пользователи Корпорации Microsoft

Microsoft срочно исправила баги Windows 11 после январского обновления

Январское обновление Windows 11 за 2026 год не прошло без проблем: Microsoft официально признала, что Patch Tuesday принёс как минимум три серьёзных бага, два из которых уже пришлось срочно чинить внеплановыми патчами. Третий — всё ещё в ожидании.

Обновления вышли 13 января и затронули сразу несколько версий Windows и Windows Server — от Windows 11 25H2 до Windows 10 в рамках ESU.

Почти сразу после релиза пользователи начали массово жаловаться на сбои, и в итоге Microsoft была вынуждена вмешаться.

На данный момент Microsoft подтверждает три крупных бага:

1. Перестал работать Remote Desktop.

После установки январских обновлений (в частности, KB5074109 для Windows 11 25H2) RDP-подключения через приложение Windows App начали падать на этапе входа. Пользователь нажимает Connect — и вместо запроса учётных данных получает ошибку аутентификации.

Хорошая новость: проблема не затрагивает пользовательские данные и связана именно с Windows App, который не может корректно обработать окно ввода логина и пароля. Ещё лучше — баг уже исправлен.

2. Windows 11 23H2 отказывается выключаться.

Вторая проблема выглядит почти комично, но на практике сильно раздражает. На системах с включённым System Guard Secure Launch кнопки «Завершение работы» и «Гибернация» просто перезагружают компьютер.

Баг затрагивает только Windows 11 23H2, которая уже не поддерживается для домашних пользователей, так что в зоне риска в основном корпоративные клиенты. Microsoft подчёркивает, что случаев немного — и да, фикс тоже уже выпущен.

3. Outlook Classic падает. Тут пока без фикса.

А вот в случае с Outlook всё менее радужно. Microsoft подтвердила баг, из-за которого почтовый клиент перестаёт нормально запускаться при использовании POP-аккаунтов.

Приложение формально «открыто», но зависает в фоне и не появляется на экране. Временный костыль — открыть диспетчер задач, убить Outlook.exe и запустить его снова.

Важно: проблема не затрагивает пользователей Microsoft 365, но всем, кто использует POP и классический Outlook, январское обновление может изрядно испортить рабочий день. Фикса пока нет.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »