Si usas esta extensión de Google Chrome para bloquear anuncios, tu PC se encuentra en grave peligro. Nos referimos a NexShield, una herramienta que supuestamente permite deshacerse de las publicidades en la web, pero que en realidad es un malware que pone en peligro tu PC y tus datos.
Según han descubierto los expertos de ciberseguridad de Huntress, NexShield se vale de métodos bastante elaborados para engañar a sus usuarios para ganar acceso a sus ordenadores y robar su información. Todo esto, a partir de una extensión de Chrome para bloquear anuncios que a primera vista parece inofensiva.
Lo que hace la extensión, que además de Chrome funciona en otros navegadores basados en Chromium, como Edge, es lanzar una falsa advertencia de problemas en el software para lanzar un supuesto mecanismo de reparación que, en realidad, abre las puertas del PC a actores maliciosos para extraer información sensible y ganar control sobre el equipo.
Un punto llamativo de NexShield es que sus responsables la han desarrollado para que no despierte sospechas de su involucramiento en las actividades maliciosas. Su funcionamiento se ha pensado para que los usuarios menos avezados no relacionen a esta extensión de Chrome para bloquear anuncios con un ataque de piratas informáticos.
Según descubrieron los expertos en ciberseguridad, NexShield se hace pasar por una herramienta para bloquear anuncios legítima. Esto lo consigue porque es básicamente una copia de uOrigin Lite. De hecho, los hackers mencionan a Raymond Hill, el creador de uOrigin, como el responsable de la extensión de Chrome. Así, han logrado que la utilidad llegue a las tiendas de distribución de forma más sencilla.
NexShield, la extensión de Chrome para bloquear anuncios que te hackea
El reporte Huntress hace un análisis muy minucioso del funcionamiento de NexShield, cómo pergeña sus ataques y cómo busca esconder sus rastros. Aquí trataremos de explicar los puntos más importantes de su funcionamiento, para que se pueda entender su peligro de forma fácil.
Después de instalar esta extensión de Chrome, el ordenador comienza a sufrir una fuerte pérdida de rendimiento. En lugar de limitarse a bloquear anuncios, NexShield lanza un ataque de denegación de servicio (DoS) contra el propio navegador web. Esto consume recursos hasta que la aplicación queda básicamente inutilizable.
Cuando los usuarios ya no pueden hacer nada con la aplicación y fuerzan su cierre, NexShield inicia la siguiente etapa del ataque. Al reabrir Chrome, la extensión muestra una alerta falsa de que el navegador ha dejado de funcionar repentinamente. El mismo mensaje incluye un botón para iniciar un "escaneo" que arroja como resultado la supuesta presencia de fallos de seguridad que se deben solucionar de forma manual.
Lo que hace NexShield es mostrar un presunto comando de reparación que se debe copiar y pegar en la ventaja Ejecutar. Dicho código es, en realidad, un comando de PowerShell malicioso que permite a los piratas informáticos extraer información almacenada en el PC hacia un servidor externo y ejecutar comandos de forma remota, entre muchas otras acciones de comando y control.
Una amenaza bastante lista
Para no levantar sospechas, los responsables de esta extensión de Chrome han tomado varias medidas. Una de ellas incluye el uso de dos temporizadores. Uno de ellos es de 60 minutos y se pone en marcha al instalar la utilidad para bloquear anuncios. Al consumirse el tiempo, comienza el ataque DoS contra el navegador. El segundo repite el ataque cada 10 minutos luego de reiniciar el software, lo que permite la reaparición de los mensajes de alerta incluso aunque los usuarios los cierren manualmente y desestimen.
Si ya instalaste NexShield, no es suficiente con quitar la extensión de Chrome. Tendrás que valerte de un antivirus potente para eliminar todos los rastros del software malicioso de tu PC. Consulta a algún técnico o especialista si no estás seguro de haber podido quitar por completo esta amenaza de tu PC.