Pesquisadores de cibersegurança da Huntress divulgaram detalhes de uma campanha sofisticada batizada de CrashFix, que usa uma extensão maliciosa do Google Chrome para travar deliberadamente o navegador e induzir vítimas a executar comandos que instalam um trojan de acesso remoto chamado ModeloRAT.A extensão falsa, disponibilizada na Chrome Web Store oficial com o nome "NexShield – Advanced Web Guardian", foi baixada pelo menos 5.000 vezes antes de ser removida. O malware se apresentava como um bloqueador de anúncios legítimo, prometendo proteger usuários contra rastreadores e conteúdo intrusivo.Clone perfeito de software legítimoDe acordo com a Huntress, a extensão é um clone quase idêntico do uBlock Origin Lite versão 2025.1116.1841, um complemento legítimo de bloqueio de anúncios. A única diferença está no código malicioso escondido, projetado para exibir avisos de segurança falsos após travar o navegador propositalmente.A campanha faz parte da infraestrutura KongTuke, também rastreada como TAG-124, um sistema de distribuição de tráfego que cria perfis de vítimas antes de redirecioná-las para sites de entrega de malware. O acesso a sistemas comprometidos é depois vendido para outros criminosos, incluindo grupos de ransomware como Rhysida e Interlock.Ciclo vicioso que explora a frustração do usuárioA extensão aguarda 60 minutos após a instalação antes de ativar seu comportamento malicioso. Depois disso, a cada 10 minutos, ela lança um ataque de negação de serviço (DoS) que cria um bilhão de iterações em loop infinito, abrindo novas conexões de porta que esgotam completamente a memória do computador.Quando o navegador trava e a vítima força o encerramento, um pop-up aparece ao reiniciar o Chrome alegando que o navegador "parou de forma anormal" e solicitando uma "verificação" para corrigir uma possível ameaça à segurança. O aviso falso, que se passa por alerta do Microsoft Edge, instrui o usuário a abrir a caixa de diálogo Executar do Windows e colar um comando já copiado automaticamente para a área de transferência.Pesquisadores da Huntress explicam que o pop-up só aparece na inicialização do navegador depois que ele deixa de responder. Antes da execução do DoS, um carimbo de data/hora é armazenado. Quando o usuário reinicia o navegador, o pop-up CrashFix é exibido.Se a extensão não for removida, o ataque é acionado novamente após 10 minutos, criando um loop interminável que força a vítima a ver o aviso falso repetidamente. O pop-up também desativa os menus de contexto e bloqueia atalhos de teclado para impedir a análise do código.Ferramenta legítima do Windows baixa o malwareO comando CrashFix emprega o utilitário legítimo do Windows, finger.exe, para recuperar a carga maliciosa do servidor controlado pelos criminosos. O uso dessa ferramenta oficial da Microsoft ajuda a evitar detecção por antivírus, que geralmente confiam em programas nativos do sistema.A carga útil recebida é um comando PowerShell que, seguindo o manual do malware SocGholish, usa múltiplas camadas de codificação Base64 e operações XOR para ocultar o código da próxima etapa. O script descriptografado verifica a presença de mais de 50 ferramentas de análise e indicadores de máquina virtual, se encontrados, interrompe imediatamente a execução.O malware também verifica se o computador está conectado a um domínio corporativo ou é uma máquina doméstica, enviando essas informações junto com uma lista de antivírus instalados para o servidor dos criminosos.Empresas recebem trojan completoSe o sistema comprometido estiver marcado como associado a um domínio corporativo, a cadeia de ataque culmina com a implantação do ModeloRAT, um trojan para Windows baseado em Python com recursos completos. O malware usa criptografia RC4 para comunicações de comando e controle, configura persistência usando o Registro do Windows e permite executar binários, DLLs, scripts Python e comandos PowerShell.O ModeloRAT implementa um sistema inteligente de comunicação com três modos de operação: intervalo padrão de 5 minutos em operação normal, polling rápido de 150 milissegundos em modo ativo, e intervalo estendido de 15 minutos após falhas consecutivas para evitar detecção. O trojan também pode se auto-atualizar ou encerrar ao receber comandos específicos dos operadores.Já usuários em estações de trabalho independentes recebem apenas a mensagem "TEST PAYLOAD!!!!" do servidor, indicando que essa parte da campanha ainda pode estar em fase de testes.Como se protegerEspecialistas em cibersegurança recomendam as seguintes medidas de proteção.Desconfie mesmo de extensões na loja oficial: a presença na Chrome Web Store não garante legitimidade. Verifique reviews, número de downloads e data de criação da conta do desenvolvedor;Nunca execute comandos sem entender: se um pop-up solicitar que você cole e execute comandos na caixa Executar do Windows, recuse. Empresas legítimas não resolvem problemas dessa forma;Verifique extensões instaladas: acesse chrome://extensions e remova qualquer extensão que você não reconheça ou não tenha instalado intencionalmente;Prefira desenvolvedores conhecidos: ao instalar bloqueadores de anúncios, opte por opções estabelecidas como uBlock Origin (não o Lite clonado), AdBlock ou similares com histórico comprovado;Mantenha antivírus atualizado: soluções de segurança podem detectar comportamentos anormais mesmo de extensões aparentemente legítimas;Se o navegador travar sem motivo aparente: não execute comandos sugeridos por pop-ups. Desinstale extensões recém-instaladas e faça uma varredura completa no sistema.Para mais notícias de segurança, acompanhe o TecMundo nas redes sociais. Inscreva-se em nosso canal do YouTube e na nossa newsletter.