Phần mềm độc hại chặn quảng cáo giả mạo này đã mạo danh nhà phát triển uBlock Origin

Tác giả tanthanh 23/01/2026 6 phút đọc

ôi chặn quảng cáo (bất chấp sự đạo đức giả) và bạn có thể cũng vậy nếu bạn đủ hiểu biết về công nghệ để đọc PCWorld một cách thường xuyên. Vì vậy, có lẽ bạn đã quen thuộc với bộ phim nhỏ giữa Google Chrome và ublock Origin cực kỳ phổ biến, cũng là một dự án đam mê của nhà phát triển solo. Tai tiếng đó đã dẫn đến một sự trớ trêu nhỏ: một kẻ lừa đảo mạo danh nhà phát triển nói trên bằng một trình chặn quảng cáo giả mạo.

Tại một thời điểm, “NexShield Smart Ad Blocker” đã có sẵn trên Chrome Web Store, cho phép tải xuống và cài đặt nó trên các trình duyệt dựa trên Chrome như Chrome và Edge. Kể từ đó, nó đã bị xóa và trang quảng cáo của nó bị hỏng cùng với các quảng cáo liên quan chạy trên các công cụ tìm kiếm, bao gồm cả Google. Nhưng rõ ràng nó được quảng bá là “do Raymond Hill.” tạo ra Hill có phần đáng chú ý với tư cách là nhà phát triển solo đằng sau uBlock Origin, người từ chối tuân thủ các thay đổi mở rộng Manifest V3 của Google, nói rằng nó sẽ cản trở chức năng của hệ thống chặn quảng cáo.

UBlock Origin ban đầu vẫn có sẵn trên Firefox và các trình duyệt không phải Chrome khác, trong khi những người trong chúng ta vẫn sử dụng tiêu chuẩn phổ biến nhất sẽ phải làm với uBlock Origin Lite kém hiệu quả hơn. NexShield rõ ràng đã sao chép hầu hết mã trong phiên bản Lite và gán sai sự phát triển cho Hill.

NexShield bị phát hiện là phần mềm độc hại bởi nhà cung cấp bảo mật Huntress (thông qua Máy tính đang ngủ), người nói rằng tiện ích mở rộng đã sử dụng một vectơ tấn công thú vị. Ẩn bên trong tệp.js nền là một hệ thống gửi thông tin theo dõi người dùng trở lại người tạo. Để tránh bị phát hiện ngay lập tức, tiện ích mở rộng không thực sự bắt đầu hoạt động trong một gi.

Khi nó hoạt động, tiện ích mở rộng sẽ làm quá tải trình duyệt bằng cách thực hiện lặp đi lặp lại một vòng lặp một tỷ (với hành động “b”). Điều này nhanh chóng làm cạn kiệt tài nguyên hệ thống, khiến các tab và cuối cùng là toàn bộ trình duyệt bị lỗi. Sau khi người dùng khởi động lại trình duyệt, họ nhận được thông báo rằng có những vấn đề cần khắc phục (do đó biệt danh “ClickFix” và “CrashFix” do một số nhà nghiên cứu bảo mật gán). Khi điều đó xảy ra, một mã sẽ tự động được sao chép, sau đó người dùng được hướng dẫn dán lệnh độc hại vào công cụ Windows Run: “Open Win + R, Press Ctrl + V, Press Enter.”

Chút thủ đoạn đó cài đặt ModeloRAT, một tải trọng khó chịu bao gồm trojan truy cập từ xa với khả năng cài đặt các công cụ bổ sung, theo dõi người dùng, sửa đổi sổ đăng ký Windows và tất cả các hành vi khó chịu khác. Theo Huntress, hệ thống này là tác phẩm của tác nhân đe dọa “KongTuke,” đang nhắm mục tiêu cụ thể vào các mạng công ty có giá trị cao.