Uma nova campanha de publicidade maliciosa está a utilizar uma extensão falsa para navegadores, denominada NexShield, para comprometer a segurança dos utilizadores. Apresentada como um bloqueador de anúncios leve e focado na privacidade, a extensão provoca intencionalmente o bloqueio do navegador para facilitar a instalação de software malicioso em ambientes corporativos.
A extensão, que já foi removida da loja oficial, promovia-se falsamente como sendo uma criação de Raymond Hill, o conhecido programador responsável pelo legítimo uBlock Origin. No entanto, a realidade do NexShield é bem distinta: em vez de bloquear publicidade, a ferramenta cria um cenário de negação de serviço (DoS) local.
A tática "CrashFix": criar o problema para vender a solução
Segundo a análise dos investigadores de segurança da Huntress, o NexShield gera um ciclo infinito de conexões internas que esgotam rapidamente os recursos do computador. O resultado prático é o congelamento dos separadores, um aumento drástico no uso do processador e da memória RAM, culminando na falha total do navegador.
Este comportamento força o utilizador a encerrar o processo através do Gestor de Tarefas do Windows. Ao reiniciar o navegador, a armadilha é ativada: a extensão exibe um aviso falso de que foram detetados problemas de segurança, sugerindo uma verificação do sistema. Esta variante de ataque, apelidada de "CrashFix", distingue-se por causar um bloqueio real do software, tornando o aviso de erro subsequente muito mais credível para a vítima do que as simulações habituais de "ecrã azul".
Se o utilizador seguir as instruções para "corrigir" o problema, é levado a copiar um comando para a área de transferência e a executá-lo na linha de comandos do Windows. Este comando descarrega e executa um script malicioso, abrindo a porta ao verdadeiro ataque.
ModeloRAT e o foco nas empresas
Para evitar a deteção imediata por sistemas de antivírus, o ataque inclui um atraso de execução de 60 minutos após a instalação inicial. O objetivo principal desta campanha parece ser o setor empresarial. Quando o malware deteta que está num ambiente corporativo (domínio registado), instala uma ferramenta de acesso remoto baseada em Python, chamada ModeloRAT.
Este trojan permite aos atacantes realizar o reconhecimento do sistema, executar comandos adicionais, modificar o Registo do sistema e atualizar-se autonomamente. Curiosamente, em computadores domésticos que não pertencem a um domínio empresarial, o servidor de comando e controlo devolve apenas uma mensagem de teste ("TEST PAYLOAD!!!!"), indicando que os utilizadores comuns podem não ser o alvo prioritário ou que a ferramenta ainda está em desenvolvimento.
A Huntress atribui estes ataques a um ator de ameaças identificado como "KongTuke", cujas operações têm sido monitorizadas desde o início de 2025. É importante notar que, para quem instalou o NexShield, remover a extensão do Google Chrome ou Edge não é suficiente para limpar a infeção, sendo necessária uma verificação completa ao sistema para eliminar quaisquer scripts persistentes ou o próprio ModeloRAT.
Nenhum comentário
Seja o primeiro!