Pesquisadores da Huntress revelaram informa\u00e7\u00f5es sobre uma campanha sofisticada chamada CrashFix, que utiliza uma extens\u00e3o maliciosa do Google Chrome para travar deliberadamente o navegador, for\u00e7ando as v\u00edtimas a executar comandos que instalam um trojan de acesso remoto conhecido como ModeloRAT.<\/p>\n
A extens\u00e3o enganosa, encontrada na Chrome Web Store com o nome “NexShield \u2013 Advanced Web Guardian”, foi baixada pelo menos 5.000 vezes antes de ser removida. O malware se disfar\u00e7ava de um bloqueador de an\u00fancios leg\u00edtimo, prometendo proteger os usu\u00e1rios contra rastreadores e conte\u00fado intrusivo.<\/p>\n
Clone perfeito de software leg\u00edtimo<\/h2>\n
Segundo a Huntress, a extens\u00e3o \u00e9 um clone quase id\u00eantico do uBlock Origin Lite vers\u00e3o 2025.1116.1841, um complemento leg\u00edtimo de bloqueio de an\u00fancios. A diferen\u00e7a crucial est\u00e1 no c\u00f3digo malicioso oculto, que exibe avisos de seguran\u00e7a falsos ap\u00f3s travar intencionalmente o navegador.<\/p>\n
A campanha faz parte da infraestrutura KongTuke, conhecida tamb\u00e9m como TAG-124, um sistema de distribui\u00e7\u00e3o de tr\u00e1fego que cria perfis de v\u00edtimas antes de redirecion\u00e1-las para sites de entrega de malware. O acesso a sistemas comprometidos \u00e9 posteriormente vendido para outros criminosos, incluindo grupos de ransomware como Rhysida e Interlock.<\/p>\n
Ciclo vicioso que explora a frustra\u00e7\u00e3o do usu\u00e1rio<\/h2>\n
A extens\u00e3o espera 60 minutos ap\u00f3s a instala\u00e7\u00e3o antes de iniciar seu comportamento malicioso. Depois disso, a cada 10 minutos, um ataque de nega\u00e7\u00e3o de servi\u00e7o (DoS) \u00e9 lan\u00e7ado, gerando um bilh\u00e3o de itera\u00e7\u00f5es em loop infinito, abrindo novas conex\u00f5es de porta at\u00e9 esgotar a mem\u00f3ria do computador.<\/p>\n
Quando o navegador trava e a v\u00edtima for\u00e7a o encerramento, um pop-up aparece ao reiniciar o Chrome, alegando que o navegador “parou de forma anormal” e solicitando uma “verifica\u00e7\u00e3o” para corrigir uma poss\u00edvel amea\u00e7a. O aviso falso, que simula um alerta do Microsoft Edge, instrui o usu\u00e1rio a abrir a caixa de di\u00e1logo Executar do Windows e colar um comando que j\u00e1 est\u00e1 copiado para a \u00e1rea de transfer\u00eancia.<\/p>\n
Pesquisadores explicam que o pop-up aparece apenas na inicializa\u00e7\u00e3o do navegador, ap\u00f3s ele deixar de responder. Antes do ataque DoS, um carimbo de data\/hora \u00e9 armazenado. Quando o usu\u00e1rio reinicia o navegador, o pop-up CrashFix \u00e9 exibido.<\/p>\n
Se a extens\u00e3o n\u00e3o for removida, o ataque se repete a cada 10 minutos, criando um ciclo sem fim que faz a v\u00edtima visualizar o aviso falso repetidamente. O pop-up tamb\u00e9m desativa os menus de contexto e bloqueia atalhos de teclado para impedir a an\u00e1lise do c\u00f3digo.<\/p>\n
Ferramenta leg\u00edtima do Windows baixa o malware<\/h2>\n
O comando CrashFix utiliza o utilit\u00e1rio leg\u00edtimo do Windows, finger.exe, para recuperar a carga maliciosa de um servidor controlado pelos criminosos. O uso dessa ferramenta oficial da Microsoft ajuda a evitar a detec\u00e7\u00e3o por antiv\u00edrus, que normalmente confiam em programas nativos do sistema.<\/p>\n
A carga recebida \u00e9 um comando PowerShell que, seguindo as diretrizes do malware SocGholish, aplica m\u00faltiplas camadas de codifica\u00e7\u00e3o Base64 e opera\u00e7\u00f5es XOR para ocultar o c\u00f3digo da pr\u00f3xima etapa. O script descriptografado verifica a presen\u00e7a de mais de 50 ferramentas de an\u00e1lise e indicadores de m\u00e1quina virtual, interrompendo a execu\u00e7\u00e3o se detectados.<\/p>\n
O malware tamb\u00e9m verifica se o computador est\u00e1 conectado a um dom\u00ednio corporativo ou se \u00e9 uma m\u00e1quina dom\u00e9stica, enviando essas informa\u00e7\u00f5es juntamente com uma lista de antiv\u00edrus instalados para o servidor dos criminosos.<\/p>\n
Empresas recebem trojan completo<\/h2>\n
Se o sistema comprometido estiver vinculado a um dom\u00ednio corporativo, a cadeia de ataque culmina com a implanta\u00e7\u00e3o do ModeloRAT, um trojan para Windows baseado em Python que possui recursos completos.<\/p>\n
Esse malware utiliza criptografia RC4 para comunica\u00e7\u00f5es de comando e controle, configura persist\u00eancia pelo Registro do Windows e permite a execu\u00e7\u00e3o de bin\u00e1rios, DLLs, scripts Python e comandos PowerShell.<\/p>\n
O ModeloRAT implementa um sistema inteligente de comunica\u00e7\u00e3o com tr\u00eas modos de opera\u00e7\u00e3o: intervalo padr\u00e3o de 5 minutos em funcionamento normal, polling r\u00e1pido de 150 milissegundos em modo ativo e intervalo estendido de 15 minutos ap\u00f3s falhas consecutivas para evitar detec\u00e7\u00e3o.<\/p>\n
O trojan tamb\u00e9m pode se autoatualizar ou encerrar com a recep\u00e7\u00e3o de comandos espec\u00edficos dos operadores.<\/p>\n
Por outro lado, usu\u00e1rios em esta\u00e7\u00f5es de trabalho independentes recebem apenas a mensagem “TEST PAYLOAD!!!!” do servidor, indicando que essa parte da campanha ainda est\u00e1 em fase de testes.<\/p>\n
Como se proteger<\/h2>\n
Especialistas em ciberseguran\u00e7a recomendam as seguintes medidas de prote\u00e7\u00e3o:<\/p>\n
- \n
- Desconfie de extens\u00f5es na loja oficial: a presen\u00e7a na Chrome Web Store n\u00e3o garante legitimidade. Verifique avalia\u00e7\u00f5es, n\u00famero de downloads e data de cria\u00e7\u00e3o da conta do desenvolvedor;<\/li>\n
- Nunca execute comandos sem entender: se um pop-up solicitar que voc\u00ea cole e execute comandos na caixa Executar do Windows, recuse. Empresas leg\u00edtimas n\u00e3o resolvem problemas dessa maneira;<\/li>\n
- Verifique extens\u00f5es instaladas: acesse chrome:\/\/extensions e remova qualquer extens\u00e3o que voc\u00ea n\u00e3o reconhe\u00e7a ou que n\u00e3o tenha instalado intencionalmente;<\/li>\n
- Prefira desenvolvedores conhecidos: ao instalar bloqueadores de an\u00fancios, escolha op\u00e7\u00f5es estabelecidas como uBlock Origin (n\u00e3o o Lite clonado), AdBlock ou alternativas com hist\u00f3rico comprovado;<\/li>\n
- Mantenha seu antiv\u00edrus atualizado: solu\u00e7\u00f5es de seguran\u00e7a podem detectar comportamentos anormais, mesmo de extens\u00f5es que parecem leg\u00edtimas;<\/li>\n
- Se o navegador travar sem motivo aparente: n\u00e3o execute comandos sugeridos por pop-ups. Desinstale extens\u00f5es recentemente instaladas e fa\u00e7a uma varredura completa no sistema.<\/li>\n<\/ul>\n
Para mais not\u00edcias sobre seguran\u00e7a, acompanhe o TecMania nas redes sociais. Inscreva-se em nosso canal do YouTube e na nossa newsletter.<\/p>\n
\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"Malware disfar\u00e7ado de bloqueador de an\u00fancios criava problema e depois oferecia solu\u00e7\u00e3o falsa. Pesquisadores da Huntress revelaram informa\u00e7\u00f5es sobre uma […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[12],"tags":[],"class_list":["post-583","post","type-post","status-publish","format-standard","hentry","category-seguranca"],"_links":{"self":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/583","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/comments?post=583"}],"version-history":[{"count":0,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/583\/revisions"}],"wp:attachment":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/media?parent=583"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/categories?post=583"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/tags?post=583"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}