Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreiejbmul3arzgs223mu6sg3ygxtixcs5gn5gheb5z74vvhv7ced3yu",
    "uri": "at://did:plc:ulfbtqn2ybcgbzf27z75qrvu/app.bsky.feed.post/3mj7pivpmfdo2"
  },
  "coverImage": {
    "$type": "blob",
    "ref": {
      "$link": "bafkreihxaa5q4ylwiwqst3gdxyxeg3tvj2anozdgrh3pvg75pv3wdabp2q"
    },
    "mimeType": "image/jpeg",
    "size": 128294
  },
  "path": "/seguranca/409967-extensao-falsa-do-chrome-trava-navegador-e-infecta-mais-de-5-mil-usuarios-com-virus.htm",
  "publishedAt": "2026-04-11T11:00:00.000Z",
  "site": "https://www.tecmundo.com.br",
  "tags": [
    "Segurança"
  ],
  "textContent": "Pesquisadores de cibersegurança da Huntress divulgaram detalhes de uma campanha sofisticada batizada de CrashFix, que usa uma extensão maliciosa do Google Chrome para travar deliberadamente o navegador e induzir vítimas a executar comandos que instalam um trojan de acesso remoto chamado ModeloRAT.\n\nA extensão falsa, disponibilizada na Chrome Web Store oficial com o nome \"NexShield – Advanced Web Guardian\", foi baixada pelo menos 5.000 vezes antes de ser removida. O malware se apresentava como um bloqueador de anúncios legítimo, prometendo proteger usuários contra rastreadores e conteúdo intrusivo.\n\n## Clone perfeito de software legítimo\n\nDe acordo com a Huntress, a extensão é um clone quase idêntico do uBlock Origin Lite versão 2025.1116.1841, um complemento legítimo de bloqueio de anúncios. A única diferença está no código malicioso escondido, projetado para exibir avisos de segurança falsos após travar o navegador propositalmente.\n\nA campanha faz parte da infraestrutura KongTuke, também rastreada como TAG-124, um sistema de distribuição de tráfego que cria perfis de vítimas antes de redirecioná-las para sites de entrega de malware. O acesso a sistemas comprometidos é depois vendido para outros criminosos, incluindo grupos de ransomware como Rhysida e Interlock.\n\n## Ciclo vicioso que explora a frustração do usuário\n\nA extensão aguarda 60 minutos após a instalação antes de ativar seu comportamento malicioso. Depois disso, a cada 10 minutos, ela lança um ataque de negação de serviço (DoS) que cria um bilhão de iterações em loop infinito, abrindo novas conexões de porta que esgotam completamente a memória do computador.\n\nQuando o navegador trava e a vítima força o encerramento, um pop-up aparece ao reiniciar o Chrome alegando que o navegador \"parou de forma anormal\" e solicitando uma \"verificação\" para corrigir uma possível ameaça à segurança. O aviso falso, que se passa por alerta do Microsoft Edge, instrui o usuário a abrir a caixa de diálogo Executar do Windows e colar um comando já copiado automaticamente para a área de transferência.\n\nPesquisadores da Huntress explicam que o pop-up só aparece na inicialização do navegador depois que ele deixa de responder. Antes da execução do DoS, um carimbo de data/hora é armazenado. Quando o usuário reinicia o navegador, o pop-up CrashFix é exibido.\n\nSe a extensão não for removida, o ataque é acionado novamente após 10 minutos, criando um loop interminável que força a vítima a ver o aviso falso repetidamente. O pop-up também desativa os menus de contexto e bloqueia atalhos de teclado para impedir a análise do código.\n\n## Ferramenta legítima do Windows baixa o malware\n\nO comando CrashFix emprega o utilitário legítimo do Windows, finger.exe, para recuperar a carga maliciosa do servidor controlado pelos criminosos. O uso dessa ferramenta oficial da Microsoft ajuda a evitar detecção por antivírus, que geralmente confiam em programas nativos do sistema.\n\nA carga útil recebida é um comando PowerShell que, seguindo o manual do malware SocGholish, usa múltiplas camadas de codificação Base64 e operações XOR para ocultar o código da próxima etapa. O script descriptografado verifica a presença de mais de 50 ferramentas de análise e indicadores de máquina virtual, se encontrados, interrompe imediatamente a execução.\n\nO malware também verifica se o computador está conectado a um domínio corporativo ou é uma máquina doméstica, enviando essas informações junto com uma lista de antivírus instalados para o servidor dos criminosos.\n\n## Empresas recebem trojan completo\n\nSe o sistema comprometido estiver marcado como associado a um domínio corporativo, a cadeia de ataque culmina com a implantação do ModeloRAT, um trojan para Windows baseado em Python com recursos completos.\n\nO malware usa criptografia RC4 para comunicações de comando e controle, configura persistência usando o Registro do Windows e permite executar binários, DLLs, scripts Python e comandos PowerShell.\n\nO ModeloRAT implementa um sistema inteligente de comunicação com três modos de operação: intervalo padrão de 5 minutos em operação normal, polling rápido de 150 milissegundos em modo ativo, e intervalo estendido de 15 minutos após falhas consecutivas para evitar detecção.\n\nO trojan também pode se auto-atualizar ou encerrar ao receber comandos específicos dos operadores.\n\nJá usuários em estações de trabalho independentes recebem apenas a mensagem \"TEST PAYLOAD!!!!\" do servidor, indicando que essa parte da campanha ainda pode estar em fase de testes.\n\n## Como se proteger\n\nEspecialistas em cibersegurança recomendam as seguintes medidas de proteção.\n\n  * Desconfie mesmo de extensões na loja oficial: a presença na Chrome Web Store não garante legitimidade. Verifique reviews, número de downloads e data de criação da conta do desenvolvedor;\n  * Nunca execute comandos sem entender: se um pop-up solicitar que você cole e execute comandos na caixa Executar do Windows, recuse. Empresas legítimas não resolvem problemas dessa forma;\n  * Verifique extensões instaladas: acesse chrome://extensions e remova qualquer extensão que você não reconheça ou não tenha instalado intencionalmente;\n  * Prefira desenvolvedores conhecidos: ao instalar bloqueadores de anúncios, opte por opções estabelecidas como uBlock Origin (não o Lite clonado), AdBlock ou similares com histórico comprovado;\n  * Mantenha antivírus atualizado: soluções de segurança podem detectar comportamentos anormais mesmo de extensões aparentemente legítimas;\n  * Se o navegador travar sem motivo aparente: não execute comandos sugeridos por pop-ups. Desinstale extensões recém-instaladas e faça uma varredura completa no sistema.\n\n\n\nPara mais notícias de segurança, acompanhe o TecMundo nas redes sociais. Inscreva-se em nosso canal do YouTube e na nossa newsletter.",
  "title": "Extensão falsa do Chrome trava navegador e infecta mais de 5 mil usuários com vírus"
}