Extensões falsas para navegadores não são novidade, mas uma ameaça recente eleva o risco ao extremo: ela trava deliberadamente seu computador para induzir você a infectá-lo.
Pesquisadores de segurança identificaram uma extensão maliciosa para Chrome e Edge chamada NexShield, que se apresenta como um ad blocker rápido e focado em privacidade.
Porém, após a instalação, ela trava intencionalmente o navegador e manipula o usuário a “consertar” o problema, executando comandos perigosos diretamente no computador.
NexShield era divulgada como um ad blocker leve, supostamente desenvolvido por Raymond Hill, criador do conhecido uBlock Origin — informação falsa que conferia aparência legítima suficiente para sua disseminação via anúncios online e resultados de busca, até ser removida da Chrome Web Store.
Assim que instalada, a extensão sobrecarrega o navegador abrindo conexões internas infinitas, até esgotar a memória do sistema.
Isso provoca congelamento das abas, pico no uso da CPU, consumo total da RAM e eventual travamento ou encerramento do programa.
Após reiniciar o navegador, o usuário recebe um pop-up alarmante afirmando que o sistema apresenta problemas críticos de segurança.
Ao clicar para “esc anear” ou “corrigir”, é instruído a abrir o Prompt de Comando e colar um comando já copiado na área de transferência.
Esse é o golpe: o comando executa um script PowerShell oculto que baixa e roda malware.
Para dificultar a detecção, os invasores programam atraso de até uma hora para ativar a carga maliciosa, criando uma distância temporal entre a instalação da extensão e os danos causados.
Essa ameaça é uma variação atualizada do golpe ClickFix, que induz a vítima a executar comandos manualmente.
A Huntress batizou essa versão de CrashFix, pois, em vez de simular uma falha, ela realmente provoca uma.
No ambiente corporativo, o ataque instala uma ferramenta de acesso remoto Python chamada ModeloRAT, que permite aos criminosos espionar sistemas, executar comandos, modificar configurações, instalar novos malwares e manter acesso prolongado.
A ameaça, atribuída ao grupo KongTuke, está focando redes empresariais para obter ganhos maiores.
Usuários domésticos não são o principal alvo desta campanha, mas isso não significa segurança garantida.
Mesmo que a carga final esteja incompleta para computadores pessoais, remover a extensão não elimina totalmente os riscos, pois componentes maliciosos podem permanecer ativos.
O maior perigo não está em alguma falha do navegador, mas na confiança: o ataque funciona porque se apresenta como uma solução confiável, pressionando o usuário a agir rapidamente enquanto o sistema aparenta estar comprometido.
Tanmay Ganacharya, vice-presidente da Microsoft Threat Protection, explicou que o Microsoft Defender oferece proteções integradas para identificar e bloquear extensões maliciosas e suas ações nocivas.
“Nossas tecnologias de segurança detectam e mitigam táticas como as deste ataque, com atualizações constantes para proteger os usuários.
Recomendamos que consumidores e empresas sigam as melhores práticas para reduzir riscos de engenharia social.
Mais orientações estão disponíveis no blog da Microsoft Security.”
Também buscamos posicionamento da Google, que não se manifestou até o momento.
Práticas conscientes e ferramentas adequadas podem reduzir significativamente o risco, mesmo quando ameaças passam pelas lojas oficiais de aplicativos.
Antes de instalar qualquer extensão, confira o nome do desenvolvedor, site oficial e histórico de atualizações.
Ferramentas confiáveis identificam claramente seus criadores e possuem avaliações acumuladas ao longo dos anos.
Desconfie de extensões “novas” que alegam ser de autores famosos, especialmente se nome e identidade visual parecerem estranhos.
Nenhuma extensão legítima jamais pedirá que você abra o Prompt de Comando ou cole comandos para resolver problemas.
Isso é um sinal de alerta grave.
Caso seu navegador trave e uma extensão sugira que você execute comandos, feche tudo imediatamente e procure ajuda em fontes confiáveis.
Softwares antivírus robustos detectam scripts maliciosos, atividades suspeitas do PowerShell e ferramentas como o ModeloRAT.
Esse tipo de proteção é essencial para identificar cargas ativadas com atraso, que soluções básicas podem não detectar.
A melhor forma de se proteger contra links maliciosos que instalam malware e acessam informações pessoais é manter um antivírus atualizado em todos os dispositivos.
Essa proteção também ajuda a bloquear e-mails de phishing e golpes com ransomware, preservando seus dados e ativos digitais.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...