Pesquisadores de cibersegurança da Huntress divulgaram detalhes de uma campanha avançada chamada CrashFix, que utiliza uma extensão maliciosa do Google Chrome para provocar falhas intencionais no navegador e enganar vítimas a executarem comandos capazes de instalar um trojan de acesso remoto conhecido como ModeloRAT.
A extensão fraudulenta, publicada na Chrome Web Store sob o nome “NexShield – Advanced Web Guardian”, chegou a ser instalada por pelo menos 5.000 usuários antes de ser removida. Ela se apresentava como um bloqueador de anúncios legítimo, prometendo proteção contra rastreadores e conteúdos invasivos.
Clone de extensão legítima com código oculto malicioso
Segundo a Huntress, a extensão era praticamente uma cópia do uBlock Origin Lite (versão 2025.1116.1841), um conhecido bloqueador de anúncios. A diferença estava em trechos de código escondidos, responsáveis por executar ações maliciosas após o uso contínuo, incluindo o disparo de falsos alertas de segurança.
A campanha está associada à infraestrutura conhecida como KongTuke, também identificada como TAG-124, um sistema de distribuição de tráfego que analisa e segmenta vítimas antes de direcioná-las para páginas de entrega de malware. Posteriormente, o acesso a sistemas comprometidos pode ser comercializado para grupos criminosos, incluindo organizações de ransomware como Rhysida e Interlock.
Ataque baseado em frustração e engenharia social
O comportamento malicioso da extensão é ativado cerca de 60 minutos após a instalação. A partir desse momento, a cada 10 minutos ela inicia um ataque de negação de serviço (DoS) local, criando loops massivos de processamento que sobrecarregam a memória do computador e travam o navegador.
Após o travamento e reinicialização do Chrome, a vítima é surpreendida por um pop-up que simula uma falha crítica do navegador e sugere uma suposta verificação de segurança. O aviso falso imita até alertas do Microsoft Edge e orienta o usuário a abrir o utilitário “Executar” do Windows e colar um comando malicioso já copiado automaticamente para a área de transferência.
Ciclo de infecção contínuo e bloqueio de análise
De acordo com os pesquisadores, o pop-up só aparece após o travamento do navegador. Antes disso, a extensão registra informações de tempo para sincronizar a exibição do golpe na reinicialização do sistema.
Caso não seja removida, a extensão reinicia o ciclo de ataque a cada 10 minutos, mantendo a vítima presa em uma sequência repetitiva de travamentos e alertas falsos. Além disso, o malware bloqueia atalhos de teclado e desativa menus de contexto, dificultando a análise ou remoção manual.
Uso de ferramenta legítima do Windows para baixar malware
A cadeia de ataque utiliza o utilitário legítimo do Windows finger.exe para baixar a carga maliciosa de servidores controlados pelos criminosos. O uso de uma ferramenta nativa do sistema ajuda a reduzir a detecção por antivírus, que tendem a confiar em processos oficiais do Windows.
Em seguida, o payload executa comandos em PowerShell com múltiplas camadas de ofuscação, incluindo Base64 e XOR, técnica inspirada no malware SocGholish. O código também verifica a presença de ferramentas de análise e ambientes virtuais, interrompendo a execução caso identifique um ambiente de investigação.
Além disso, o malware coleta informações sobre o sistema, incluindo se o dispositivo pertence a um domínio corporativo e quais soluções de segurança estão instaladas, enviando esses dados para os operadores.
Ataque direcionado a empresas instala trojan completo
Quando o sistema comprometido é identificado como parte de uma rede corporativa, a campanha evolui para a instalação do ModeloRAT, um trojan para Windows desenvolvido em Python com funcionalidades completas de controle remoto.
O malware utiliza criptografia RC4 para comunicação com servidores de comando e controle, estabelece persistência via Registro do Windows e permite executar scripts, binários, DLLs e comandos PowerShell remotamente.
O ModeloRAT também opera com diferentes modos de comunicação: intervalos padrão de 5 minutos, modo acelerado com requisições a cada 150 milissegundos e modo de baixa frequência após falhas sucessivas, reduzindo a chance de detecção.
O trojan ainda pode se atualizar automaticamente ou se encerrar remotamente, conforme instruções dos operadores.
Em casos de máquinas não corporativas, os usuários recebem apenas a mensagem “TEST PAYLOAD!!!!”, indicando que parte da campanha pode estar em fase de testes ou validação operacional.
