Pesquisadores de cibersegurança da Huntress divulgaram detalhes de uma campanha sofisticada batizada de CrashFix, que usa uma extensão maliciosa do Google Chrome para travar deliberadamente o navegador e induzir vítimas a executar comandos que instalam um trojan de acesso remoto chamado ModeloRAT.
A extensão falsa, disponibilizada na Chrome Web Store oficial com o nome "NexShield – Advanced Web Guardian", foi baixada pelo menos 5.000 vezes antes de ser removida. O malware se apresentava como um bloqueador de anúncios legítimo, prometendo proteger usuários contra rastreadores e conteúdo intrusivo.
Clone perfeito de software legítimo
De acordo com a Huntress, a extensão é um clone quase idêntico do uBlock Origin Lite versão 2025.1116.1841, um complemento legítimo de bloqueio de anúncios. A única diferença está no código malicioso escondido, projetado para exibir avisos de segurança falsos após travar o navegador propositalmente.
A campanha faz parte da infraestrutura KongTuke, também rastreada como TAG-124, um sistema de distribuição de tráfego que cria perfis de vítimas antes de redirecioná-las para sites de entrega de malware. O acesso a sistemas comprometidos é depois vendido para outros criminosos, incluindo grupos de ransomware como Rhysida e Interlock.
Ciclo vicioso que explora a frustração do usuário
A extensão aguarda 60 minutos após a instalação antes de ativar seu comportamento malicioso. Depois disso, a cada 10 minutos, ela lança um ataque de negação de serviço (DoS) que cria um bilhão de iterações em loop infinito, abrindo novas conexões de porta que esgotam completamente a memória do computador.
Quando o navegador trava e a vítima força o encerramento, um pop-up aparece ao reiniciar o Chrome alegando que o navegador "parou de forma anormal" e solicitando uma "verificação" para corrigir uma possível ameaça à segurança. O aviso falso, que se passa por alerta do Microsoft Edge, instrui o usuário a abrir a caixa de diálogo Executar do Windows e colar um comando já copiado automaticamente para a área de transferência.
Pesquisadores da Huntress explicam que o pop-up só aparece na inicialização do navegador depois que ele deixa de responder. Antes da execução do DoS, um carimbo de data/hora é armazenado. Quando o usuário reinicia o navegador, o pop-up CrashFix é exibido.
Se a extensão não for removida, o ataque é acionado novamente após 10 minutos, criando um loop interminável que força a vítima a ver o aviso falso repetidamente. O pop-up também desativa os menus de contexto e bloqueia atalhos de teclado para impedir a análise do código.
Ferramenta legítima do Windows baixa o malware
O comando CrashFix emprega o utilitário legítimo do Windows, finger.exe, para recuperar a carga maliciosa do servidor controlado pelos criminosos. O uso dessa ferramenta oficial da Microsoft ajuda a evitar detecção por antivírus, que geralmente confiam em programas nativos do sistema.
A carga útil recebida é um comando PowerShell que, seguindo o manual do malware SocGholish, usa múltiplas camadas de codificação Base64 e operações XOR para ocultar o código da próxima etapa. O script descriptografado verifica a presença de mais de 50 ferramentas de análise e indicadores de máquina virtual, se encontrados, interrompe imediatamente a execução.
O malware também verifica se o computador está conectado a um domínio corporativo ou é uma máquina doméstica, enviando essas informações junto com uma lista de antivírus instalados para o servidor dos criminosos.
Empresas recebem trojan completo
Se o sistema comprometido estiver marcado como associado a um domínio corporativo, a cadeia de ataque culmina com a implantação do ModeloRAT, um trojan para Windows baseado em Python com recursos completos.
O malware usa criptografia RC4 para comunicações de comando e controle, configura persistência usando o Registro do Windows e permite executar binários, DLLs, scripts Python e comandos PowerShell.
O ModeloRAT implementa um sistema inteligente de comunicação com três modos de operação: intervalo padrão de 5 minutos em operação normal, polling rápido de 150 milissegundos em modo ativo, e intervalo estendido de 15 minutos após falhas consecutivas para evitar detecção.
O trojan também pode se auto-atualizar ou encerrar ao receber comandos específicos dos operadores.
Já usuários em estações de trabalho independentes recebem apenas a mensagem "TEST PAYLOAD!!!!" do servidor, indicando que essa parte da campanha ainda pode estar em fase de testes.
Como se proteger
Especialistas em cibersegurança recomendam as seguintes medidas de proteção.
- Desconfie mesmo de extensões na loja oficial: a presença na Chrome Web Store não garante legitimidade. Verifique reviews, número de downloads e data de criação da conta do desenvolvedor;
- Nunca execute comandos sem entender: se um pop-up solicitar que você cole e execute comandos na caixa Executar do Windows, recuse. Empresas legítimas não resolvem problemas dessa forma;
- Verifique extensões instaladas: acesse chrome://extensions e remova qualquer extensão que você não reconheça ou não tenha instalado intencionalmente;
- Prefira desenvolvedores conhecidos: ao instalar bloqueadores de anúncios, opte por opções estabelecidas como uBlock Origin (não o Lite clonado), AdBlock ou similares com histórico comprovado;
- Mantenha antivírus atualizado: soluções de segurança podem detectar comportamentos anormais mesmo de extensões aparentemente legítimas;
- Se o navegador travar sem motivo aparente: não execute comandos sugeridos por pop-ups. Desinstale extensões recém-instaladas e faça uma varredura completa no sistema.
Para mais notícias de segurança, acompanhe o TecMundo nas redes sociais. Inscreva-se em nosso canal do YouTube e na nossa newsletter.