Nesta semana, os investigadores de segurança deram uma campanha de malvertising que usou uma extensão falsa para o Chrome e Edge chamada NexShield como cavalo de Troia. A simples vista era como um bloqueador de anúncios leve e respeitoso com a privacidade, inclusive mencionando o desenvolvedor legítimo do uBlock Origin como reivindicação, mas seu objetivo era muito mais sinistro: provocar o bloqueio do navegador para depois empurrar o usuário para executar comandos que descarregassem malware.
O comportamento malicioso combinava duas táticas clássicas: forçar uma falha real do navegador e, quando o usuário reiniciava, mostrar uma advertência fraudulenta que pedia “arreglar” o problema pegando e executando um comando no Símbolo do sistema. Segundo o relatório técnico publicado pelos pesquisadores de Huntress, a extensão gerava conexões de porto através da API de extensões (chrome.runtime) em um ciclo infinito até esgotar a memória, o que deixava páginas congeladas, uso elevado de CPU e, finalmente, um colapso total do Chrome ou Edge. A análise completa está disponível no blog de Huntress: Relatório de Huntress.
O que diferencia esta campanha de outras variantes de "ClickFix" é que aqui a falha não é uma simulação dentro do navegador: é um bloqueio real. Essa falha legitima a emergência que mostra a extensão ao reiniciar o navegador e aumenta a probabilidade de uma vítima seguir instruções precipitadas. A janela fraudulenta copia automaticamente um comando para a área de transferência e pede ao utilizador que o pegue e execute na consola do Windows. Essa cadeia de comandos desencadeia uma sequência que invoca PowerShell ofuscado para baixar e executar código remoto.
O payload que Huntress encontrou em ambientes corporativos foi um novo acesso remoto escrito em Python chamado ModeloRAT. Em máquinas que fazem parte de um domínio empresarial, o ModeloRAT demonstra capacidades típicas de ferramentas de acesso remoto: reconhecimento do sistema, execução de comandos PowerShell, modificação do Registo do Windows, descarga de cargas adicionais e atualização remota. Em hosts domésticos, por agora, o servidor de comando e controle respondeu com uma mensagem de teste, sugerindo que os operadores priorizam objetivos empresariais. Todos estes detalhes estão descritos com maior profundidade na análise técnica de Huntress.
Que uma extensão de navegador chegue à Chrome Web Store com centenas ou milhares de instalações e que se apresente fingindo afinidade com projetos legítimos não é novo, mas sim alarmante. O desenvolvedor do uBlock Origin, Raymond Hill (gorhill), é frequentemente citado pelos atacantes para dar aparência de credibilidade; se você quiser ver a página do projeto legítimo, está no seu repositório: uBlock no GitHub. Entretanto, o Google já eliminou a extensão maliciosa de sua loja após as detecções.
A técnica utilizada aqui —provocar uma falha real e depois oferecer uma “solução” que executa código - compartilha a filosofia com outras fraudes de suporte técnico e vetores ClickFix reportados pela comunidade. Pesquisas anteriores mostraram variantes que simulam telas de erro ou mesmo um falso BSOD em modo a ecrã completo; neste caso, a interrupção é autêntica, o que a torna mais convincente. Para entender melhor como funcionam tecnicamente as APIs que abusam os atacantes, a documentação oficial de extensões de Chromium é um bom recurso: API runtime do Chrome.
O que os usuários e administradores podem fazer? Acima de tudo, não colar nem executar comandos que cheguem por fontes não verificadas, por muito urgente que pareçam. Em ambientes corporativos, é conveniente auditar rapidamente os endpoints que puderam ser expostos: verificar persistências (tareas programadas, entradas no Registro, serviços), rever registros do EDR para conexões de rede suspeitas e sinais de execução de PowerShell ofuscado, e procurar indicadores de compromisso que detalhassem a pesquisa de Huntress. Os usuários particulares que instalaram o NexShield devem entender que eliminar apenas a extensão não garante a remoção de todas as peças maliciosas; recomenda-se uma limpeza completa do sistema usando ferramentas de segurança atualizadas e, se possível, assistência profissional.
A nível preventivo, restringir a instalação livre de extensões em equipamentos corporativos através de políticas de grupo ou listas brancas, educar modelos sobre o risco de colar comandos da área de transferência e manter as soluções de detecção e resposta atualizadas são medidas que reduzem a superfície de ataque. Além disso, rever e limitar os privilégios de contas e rotar credenciais se houver indícios de intrusão são passos imprescindíveis.
Esta campanha lembra duas lições simples, mas poderosas: a primeira, que as extensões do navegador podem se tornar vetores de compromisso tão eficazes como um adjunto malicioso; a segunda, que a pressa é o aliado do atacante. Se algo lhe pedir executar um comando para “arreglar” sua equipe, detente e consulta fontes confiáveis antes de agir. Para compreender melhor o tipo de enganos que se exploram aqui — as fraudes de suporte técnico e o uso de mensagens alarmistas para forçar ações inseguras — os recursos da Microsoft sobre como reconhecer fraudes de suporte técnico podem ser úteis: Guia Microsoft.
A pesquisa de Huntress coloca o ator após esta campanha sob o nome “KongTuke” e sugere uma mudança para objetivos mais lucrativos: as redes corporativas. É uma evolução preocupante, mas pode ser minimizada o impacto com políticas corretas, consciência e detecção precoce. Se você tem suspeita de ter sido afetado, consulte o relatório técnico de Huntress e contacte sua equipe de segurança ou profissionais em resposta a incidentes para realizar uma limpeza integral.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...