Фальшивый блокировщик рекламы маскировался под разработку автора uBlock Origin

В январе 2026 года специалисты по кибербезопасности обнаружили очередную хитрую ловушку для пользователей Chrome и Edge. В официальном магазине расширений ненадолго появилось расширение под названием NexShield – Advanced Web Guardian, которое позиционировало себя как «лёгкий и мощный блокировщик рекламы, трекеров и вредоносных скриптов от самого Raymond Hill» — того самого разработчика, который создал легендарный uBlock Origin.

На деле это была почти точная копия легитимного uBlock Origin Lite, но с подложенной вредоносной начинкой. Расширение успело собрать несколько тысяч установок, прежде чем его удалили из магазина.

Схема заражения выглядела так:

• После установки злоумышленники искусственно вызывали краш браузера — бесконечно открывали внутренние соединения, пока Chrome или Edge не начинал потреблять огромные объёмы памяти и зависал.
• Когда браузер «падал», пользователям предлагалось «починить» проблему с помощью специальной команды в командной строке или PowerShell (знаменитый приём ClickFix / CrashFix).
• Выполнение этой команды приводило к загрузке и запуску настоящего вредоносного ПО — в данном случае Python-бэкдора под названием ModeloRAT.

Этот троян способен красть данные, делать скриншоты, записывать нажатия клавиш, запускать дополнительные модули и полностью отдавать контроль над компьютером злоумышленникам.

Почему многие поверили? Разработчики фейка скопировали дизайн, описание, иконки и даже подделали подпись «от Raymond Hill». На фоне постоянных новостей о том, что Google ограничивает возможности uBlock Origin из-за перехода на Manifest V3, такие «альтернативы от оригинального автора» выглядели очень правдоподобно.

Как не попасться в будущем

• Всегда проверяйте автора расширения. Настоящий uBlock Origin (и uBlock Origin Lite) делает Raymond Hill (gorhill в магазине Chrome).
• Не устанавливайте расширения, у которых мало отзывов или они появились совсем недавно, даже если рейтинг высокий.
• Никогда не выполняйте команды из всплывающих окон или сообщений о «необходимом ремонте браузера».
• Если браузер неожиданно крашится, просто перезапустите его — не вводите никакие предложенные «лечебные» команды.
• Лучшая защита — держать uBlock Origin (или проверенные альтернативы) и обновлять браузер.

Оригинальный uBlock Origin по-прежнему остаётся одним из самых надёжных и проверенных инструментов для защиты от рекламы и трекеров — и уж точно не содержит вирусов. А вот его многочисленные «клоны» продолжают появляться, так что осторожность не помешает.