📸 Créditos da imagem: reprodução / Tecmundo
Pesquisadores de cibersegurança da Huntress divulgaram detalhes de uma campanha sofisticada batizada de CrashFix, que usa uma extensão maliciosa do Google Chrome para travar deliberadamente o navegador e induzir vítimas a executar comandos que instalam um trojan de acesso remoto chamado ModeloRAT. A extensão falsa, disponibilizada na Chrome Web Store oficial com o nome “NexShield – Advanced Web Guardian”, foi baixada pelo menos 5.000 vezes antes de ser removida. O malware se apresentava como um bloqueador de anúncios legítimo, prometendo proteger usuários contra rastreadores e conteúdo intrusivo. Clone perfeito de software legítimoDe acordo com a Huntress, a extensão é um clone quase idêntico do uBlock Origin Lite versão 2025.1116.1841, um complemento legítimo de bloqueio de anúncios. A única diferença está no código malicioso escondido, projetado para exibir avisos de segurança falsos após travar o navegador propositalmente. A campanha faz parte da infraestrutura KongTuke, também rastreada como TAG-124, um sistema de distribuição de tráfego que cria perfis de vítimas antes de redirecioná-las para sites de entrega de malware. O acesso a sistemas comprometidos é depois vendido para outros criminosos, incluindo grupos de ransomware como Rhysida e Interlock. Ciclo vicioso que explora a frustração do usuárioA extensão aguarda 60 minutos após a instalação antes de ativar seu comportamento malicioso.
📰 Leia a notícia completa em: Tecmundo »