Recentemente, investigadores de segurança têm mostrado uma campanha que combina engenharia social afinada e truques técnicos para transformar uma extensão do navegador numa porta para um acesso remoto persistente. Os achados, publicados pela assinatura Huntress, descrevem uma operação batizada de KongTuke que usou uma extensão maliciosa que fingia ser um bloqueador de publicidade, e que deliberadamente forçava o bloqueio do navegador para enganar o usuário e conseguir que execute comandos com os quais se descarregava e mobilizou malware avançado.
O vetor inicial é surpreendentemente cotidiano: alguém procura um bloqueador de anúncios, recebe um anúncio malicioso e acaba instalando uma extensão da loja oficial do Chrome que aparenta ser legítima. A peça maliciosa identificada pelos pesquisadores chamava-se "NexShield - Advanced Web Guardian" e foi concebida para parecer quase de forma idêntica a uma versão legítima do uBlock Origin Lite, o que facilitou que milhares de usuários a instalaram antes que fosse retirada.
O interessante do ponto de vista técnico é como a extensão converte a frustração do usuário no mecanismo de entrega do segundo estádio. Após um período de latência intencionado – a carga maliciosa é ativada com retardo para evitar uma detecção imediata – a extensão mostra um alerta fraudulento que indica que o navegador falhou e oferece um “escaneo de reparação”. Se o utilizador seguir as instruções, pede- lhe para abrir a caixa Executar do Windows e colar um comando que já está na área de transferência. Esse comando, longe de ser uma utilidade de diagnóstico inócua, dispara um mecanismo que provoca um consumo extremo de recursos no navegador: são criadas repetidamente conexões de portos de runtime em um ciclo infinito até que o navegador se torna instável e termina por colapsar.
A técnica concreta de sobrecarga abusa da API interna do navegador para criar uma avalanche de conexões de runtime, o que esgota memória e CPU até provocar o congelamento e o fechamento. Entretanto, a extensão implementa uma lógica que detecta o reinício forçado do navegador e reage mostrando a mesma janela fraudulenta no próximo arranque, alimentando assim um ciclo onde a mesma “solução” se oferece uma e outra vez a usuários já frustrados. Para conhecer mais sobre as APIs que foram abusadas, a documentação de extensões do Chrome oferece contexto sobre como os runtime ports funcionam: developer.chrome.com/docs/extensions/reference/runtime.
A campanha não fica no incômodo: há um segundo ato malicioso. A extensão envia um identificador único para um servidor controlado pelo atacante e, quando algumas condições são cumpridas (o identificador existe, o servidor responde e o utilizador interagiu com o popup), executa um comando que utiliza uma utilidade legítima do Windows para baixar o estádio seguinte a partir de um endereço remoto. Esse comando desencadeia uma cadeia de PowerShell ofuscada com múltiplas camadas de Base64 e operações XOR, que decifra um payload capaz de sondear a equipe em busca de ferramentas de análise e ambientes virtualizados. Se detectar que a equipe é parte de um domínio empresarial, o fluxo culmina com a instalação de um troiano de acesso remoto escrito em Python, apodado ModeloRAT.
ModeloRAT incorpora criptografia RC4 para suas comunicações com o servidor de comando e controle, assegura-se persistência modificando o Registo do Windows e permite aos operadores executar binários, bibliotecas, scripts Python e comandos PowerShell. O seu comportamento de pesquisa e comunicação é pensado para evitar detecção: baixo funcionamento normal usa intervalos pouco frequentes para “beaconing”, mas pode passar a um modo ativo com pesquisas muito rápidas quando recebe a ordem. Após falhas repetidas de comunicação, o malware reduz seu ritmo para minimizar o ruído e manter-se mais sigiloso.
Os detalhes técnicos documentados por Huntress mostram que os operadores por trás da infraestrutura de tráfego - conhecidos na comunidade como KongTuke, 404 TDS ou TAG-124 segundo diferentes relatos - têm história de distribuir cargas úteis e “entregar” acesso a terceiros, incluindo famílias de ransomware. Uma análise prévia desta infraestrutura e suas associações com outros grupos foi relatada por assinaturas de inteligência, o que sublinha que não se trata de um teste isolado, mas de uma cadeia de distribuição com objetivos operacionais claros. Para contexto sobre a actividade destes sistemas de distribuição e sua utilização por intervenientes criminosas, assinaturas de inteligência como Recorded Future publicaram análises sobre grupos e TDS que facilitam este tipo de comércio ilícito (ver Recorded Future).
Quanto à persistência da campanha e das defesas técnicas: A extensão incorporava medidas anti-análises, como desativar o menu de contexto e bloquear atalhos de teclado para dificultar que o usuário abra ferramentas de desenvolvedor ou inspeccione o código. Além disso, a carga final verifica centenas de indicadores de ambientes de análise e abortamento se encontrar registros típicos de laboratórios de malware, o que complica o trabalho dos pesquisadores. Os indicadores de infraestrutura e os arquivos associados à campanha foram registrados em plataformas como VírusTotal para seu seguimento: nexsnield[.]com no VírusTotal.
Além da explicação técnica, há uma lição clara sobre o fator humano. Este ataque explora a confiança em extensões de navegador e em mensagens que parecem resolver um problema imediato. Ao fingir um projeto de código aberto conhecido e reproduzir sua interface, os atacantes reduzem os sinais de alarme e aumentam as possibilidades de a vítima seguir as instruções.
O que os usuários e as empresas podem fazer para reduzir o risco? Primeiro, desconfiar de instruções que pedem executar comandos copiados de um site ou uma janela emergente: nunca pegue ou execute comandos que não tenha verificado. Rever e administrar as extensões instaladas, eliminando qualquer elemento desconhecido ou que não prove de uma fonte de confiança. Para ajudar a passo a passo sobre como remover extensões no Chrome, a documentação oficial do Google oferece indicações claras: support.google.com/chrome/answer/187443. Em ambientes corporativos, as políticas de gerenciamento de extensões e os controles de instalação centralizados podem evitar que usuários instalem plugins não autorizados. Também é recomendável que as equipes de segurança verifiquem conexões salientes e anomalias nos endpoints, e que mantenham as soluções antivírus e EDR atualizadas para detectar padrões de execução de scripts e persistência no Registro.
Finalmente, é importante lembrar que os atacantes recorrem frequentemente a ferramentas legítimas do sistema para baixar e executar cargas úteis, usando utilitários incluídos no Windows para diluir o sinal maliciosa. Um exemplo técnico de uma utilidade usada nesta campanha é a referência oficial da Microsoft sobre certos comandos do sistema, que convém conhecer para compreender como podem ser mal utilizados: finger.exe na documentação da Microsoft.
A campanha KongTuke e sua variante CrashFix são um lembrete de que a segurança na navegação passa por uma combinação de higiene digital individual e políticas técnicas robustas. As extensões são poderosas e úteis, mas também constituem uma superfície de ataque que pode ser explorada com grande eficácia quando combinada com enganos psicológicos bem executados e com infra-estruturas de distribuição já testadas. Manter-se informados, confirmar fontes e aplicar controlos técnicos são as melhores defesas contra este tipo de ameaças.
Para uma leitura direta e técnica do relatório que motivou esta análise, a pesquisa original de Huntress oferece uma desagregação completa da cadeia de ataque e dos indicadores de compromisso: Huntress — CrashFix / KongTuke. Para contrastar e ampliar contexto sobre atores e TDS associados, convém consultar relatórios de inteligência e repositórios técnicos adicionais.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...