Malware disfarçado de bloqueador de anúncios criava problema e depois oferecia solução falsa.
Pesquisadores da Huntress revelaram informações sobre uma campanha sofisticada chamada CrashFix, que utiliza uma extensão maliciosa do Google Chrome para travar deliberadamente o navegador, forçando as vítimas a executar comandos que instalam um trojan de acesso remoto conhecido como ModeloRAT.
A extensão enganosa, encontrada na Chrome Web Store com o nome “NexShield – Advanced Web Guardian”, foi baixada pelo menos 5.000 vezes antes de ser removida. O malware se disfarçava de um bloqueador de anúncios legítimo, prometendo proteger os usuários contra rastreadores e conteúdo intrusivo.
Clone perfeito de software legítimo
Segundo a Huntress, a extensão é um clone quase idêntico do uBlock Origin Lite versão 2025.1116.1841, um complemento legítimo de bloqueio de anúncios. A diferença crucial está no código malicioso oculto, que exibe avisos de segurança falsos após travar intencionalmente o navegador.
A campanha faz parte da infraestrutura KongTuke, conhecida também como TAG-124, um sistema de distribuição de tráfego que cria perfis de vítimas antes de redirecioná-las para sites de entrega de malware. O acesso a sistemas comprometidos é posteriormente vendido para outros criminosos, incluindo grupos de ransomware como Rhysida e Interlock.
Ciclo vicioso que explora a frustração do usuário
A extensão espera 60 minutos após a instalação antes de iniciar seu comportamento malicioso. Depois disso, a cada 10 minutos, um ataque de negação de serviço (DoS) é lançado, gerando um bilhão de iterações em loop infinito, abrindo novas conexões de porta até esgotar a memória do computador.
Quando o navegador trava e a vítima força o encerramento, um pop-up aparece ao reiniciar o Chrome, alegando que o navegador “parou de forma anormal” e solicitando uma “verificação” para corrigir uma possível ameaça. O aviso falso, que simula um alerta do Microsoft Edge, instrui o usuário a abrir a caixa de diálogo Executar do Windows e colar um comando que já está copiado para a área de transferência.
Pesquisadores explicam que o pop-up aparece apenas na inicialização do navegador, após ele deixar de responder. Antes do ataque DoS, um carimbo de data/hora é armazenado. Quando o usuário reinicia o navegador, o pop-up CrashFix é exibido.
Se a extensão não for removida, o ataque se repete a cada 10 minutos, criando um ciclo sem fim que faz a vítima visualizar o aviso falso repetidamente. O pop-up também desativa os menus de contexto e bloqueia atalhos de teclado para impedir a análise do código.
Ferramenta legítima do Windows baixa o malware
O comando CrashFix utiliza o utilitário legítimo do Windows, finger.exe, para recuperar a carga maliciosa de um servidor controlado pelos criminosos. O uso dessa ferramenta oficial da Microsoft ajuda a evitar a detecção por antivírus, que normalmente confiam em programas nativos do sistema.
A carga recebida é um comando PowerShell que, seguindo as diretrizes do malware SocGholish, aplica múltiplas camadas de codificação Base64 e operações XOR para ocultar o código da próxima etapa. O script descriptografado verifica a presença de mais de 50 ferramentas de análise e indicadores de máquina virtual, interrompendo a execução se detectados.
O malware também verifica se o computador está conectado a um domínio corporativo ou se é uma máquina doméstica, enviando essas informações juntamente com uma lista de antivírus instalados para o servidor dos criminosos.
Empresas recebem trojan completo
Se o sistema comprometido estiver vinculado a um domínio corporativo, a cadeia de ataque culmina com a implantação do ModeloRAT, um trojan para Windows baseado em Python que possui recursos completos.
Esse malware utiliza criptografia RC4 para comunicações de comando e controle, configura persistência pelo Registro do Windows e permite a execução de binários, DLLs, scripts Python e comandos PowerShell.
O ModeloRAT implementa um sistema inteligente de comunicação com três modos de operação: intervalo padrão de 5 minutos em funcionamento normal, polling rápido de 150 milissegundos em modo ativo e intervalo estendido de 15 minutos após falhas consecutivas para evitar detecção.
O trojan também pode se autoatualizar ou encerrar com a recepção de comandos específicos dos operadores.
Por outro lado, usuários em estações de trabalho independentes recebem apenas a mensagem “TEST PAYLOAD!!!!” do servidor, indicando que essa parte da campanha ainda está em fase de testes.
Como se proteger
Especialistas em cibersegurança recomendam as seguintes medidas de proteção:
- Desconfie de extensões na loja oficial: a presença na Chrome Web Store não garante legitimidade. Verifique avaliações, número de downloads e data de criação da conta do desenvolvedor;
- Nunca execute comandos sem entender: se um pop-up solicitar que você cole e execute comandos na caixa Executar do Windows, recuse. Empresas legítimas não resolvem problemas dessa maneira;
- Verifique extensões instaladas: acesse chrome://extensions e remova qualquer extensão que você não reconheça ou que não tenha instalado intencionalmente;
- Prefira desenvolvedores conhecidos: ao instalar bloqueadores de anúncios, escolha opções estabelecidas como uBlock Origin (não o Lite clonado), AdBlock ou alternativas com histórico comprovado;
- Mantenha seu antivírus atualizado: soluções de segurança podem detectar comportamentos anormais, mesmo de extensões que parecem legítimas;
- Se o navegador travar sem motivo aparente: não execute comandos sugeridos por pop-ups. Desinstale extensões recentemente instaladas e faça uma varredura completa no sistema.
Para mais notícias sobre segurança, acompanhe o TecMania nas redes sociais. Inscreva-se em nosso canal do YouTube e na nossa newsletter.