Pesquisadores em cibersegurança revelaram detalhes da campanha ativa KongTuke, que utiliza uma extensão maliciosa para Google Chrome disfarçada de bloqueador de anúncios.
Essa extensão provoca falhas deliberadas no navegador e induz as vítimas a executarem comandos arbitrários.
A técnica emprega iscas semelhantes ao ClickFix para distribuir um trojan de acesso remoto (RAT) até então desconhecido, chamado ModeloRAT.
Essa nova variação do ClickFix recebeu o codinome CrashFix pela empresa de segurança Huntress.
KongTuke, também conhecida como 404 TDS, Chaya_002, LandUpdate808 e TAG-124, é um sistema de distribuição de tráfego (TDS) que reconhece os dispositivos das vítimas antes de redirecioná-las a sites que entregam payloads maliciosos.
O acesso a esses sistemas infectados é repassado a outros grupos criminosos, como gangues de ransomware, para instalação de malwares adicionais.
Entre os grupos que já utilizaram a infraestrutura TAG-124 estão os ransomwares Rhysida e Interlock, além do TA866 (também conhecido como Asylum Ambuscade).
Segundo relatório da Recorded Future de abril de 2025, a mesma ameaça foi ligada aos malwares SocGholish e D3F@ck Loader.
No ataque documentado, a vítima busca um bloqueador de anúncios e é direcionada a um anúncio malicioso que redireciona para uma extensão hospedada na Chrome Web Store oficial.
A extensão, chamada “NexShield – Advanced Web Guardian” (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi), se apresenta como “o escudo definitivo de privacidade” e promete proteger contra anúncios, trackers, malwares e conteúdos invasivos.
Ela foi baixada cerca de 5.000 vezes e já foi removida da loja.
De acordo com a Huntress, a extensão é quase uma cópia idêntica da legítima uBlock Origin Lite, versão 2025.1116.1841.
Porém, foi modificada para exibir um alerta falso de segurança, informando que o navegador “parou de funcionar de forma anormal” e sugerindo que o usuário execute uma “verificação” para corrigir uma suposta ameaça detectada no Microsoft Edge.
Se o usuário aceitar, será instruído a abrir o diálogo do Windows Run e colar um comando previamente copiado para execução.
Esse comando faz o navegador travar completamente, realizando um ataque de negação de serviço (DoS) que cria conexões em loop infinito com um bilhão de iterações, sobrecarregando a memória e causando lentidão até o crash do browser.
Além disso, a extensão envia um identificador único para um servidor controlado pelos invasores (“nexsnield[.]com”), permitindo rastrear as vítimas.
A ativação maliciosa ocorre com atraso, disparando após 60 minutos da instalação e repetindo a cada 10 minutos.
Os pesquisadores Anna Pham, Tanner Filip e Dani Lopez explicam que o alerta falso só aparece no início do navegador após este travar.
É armazenado um timestamp que verifica se o alerta deve ser exibido após o usuário encerrar e reiniciar o navegador.
O ataque só é disparado se certas condições forem atendidas, incluindo comunicação bem-sucedida com o servidor C2 e interação do usuário com o pop-up, garantindo engajamento prévio antes da execução do payload.
Dessa forma, forma-se um ciclo em que o aviso falso reaparece sempre que o navegador é reiniciado após travar.
Caso a extensão não seja removida, o ataque reinicia a cada 10 minutos.
O pop-up contém mecanismos anti-análise que bloqueiam o menu de clique direito e atalhos de teclado, impedindo o uso de ferramentas de desenvolvedor.
O comando CrashFix utiliza o utilitário legítimo do Windows finger.exe para baixar e executar a próxima fase do malware a partir do servidor “199.217.98[.]108”.
O uso do comando finger pela KongTuke já havia sido documentado em dezembro de 2025 pelo pesquisador Brad Duncan.
A payload recebida é um script PowerShell que busca um segundo script sob múltiplas camadas de codificação Base64 e operações XOR — técnicas inspiradas no SocGholish — para mascarar o malware.
O script descriptografado verifica a presença de mais de 50 ferramentas de análise e ambientes virtuais; se detectados, o código é imediatamente interrompido.
Também avalia se a máquina está em domínio corporativo ou configurada como independente (standalone).
Essas informações são enviadas via HTTP POST ao servidor, incluindo a lista de antivírus instalados e uma flag que indica o tipo de máquina (“ABCD111” para standalone e “BCDA222” para domínio).
Se o sistema for identificado como pertencente a um domínio, o ataque se conclui com a instalação do ModeloRAT, um RAT para Windows escrito em Python.
Ele utiliza criptografia RC4 para comunicação com servidores C2 (“170.168.103[.]208” ou “158.247.252[.]178”), mantém persistência por meio do Registro do Windows e permite a execução de arquivos binários, DLLs, scripts Python e comandos PowerShell.
O ModeloRAT pode se atualizar ou encerrar por comandos específicos (“VERSION_UPDATE” ou “TERMINATION_SIGNAL”) e adota uma lógica variável de beaconing para evitar detecção.
Em operação normal, consulta o servidor a cada 5 minutos, mas pode acelerar para intervalos de 150 milissegundos em modo ativo ou desacelerar para 15 minutos após falhas repetidas de comunicação.
Enquanto o foco em máquinas de domínio indica ataques a ambientes corporativos visando acesso avançado, usuários em estações isoladas passam por uma sequência de infecção diferente, aparentemente em fase de testes, com o servidor respondendo mensagens indicativas disso.
A campanha CrashFix do KongTuke mostra como cibercriminosos continuam aprimorando táticas de engenharia social.
Ao se disfarçar de projeto open-source confiável, travar o navegador propositalmente e, em seguida, oferecer uma “solução” falsa, criam um ciclo de infecção que explora a frustração dos usuários, tornando a ameaça persistente e complexa.
Para acompanhar conteúdos exclusivos sobre cibersegurança e tecnologia, siga-nos no Google News, Twitter e LinkedIn.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...