Ataque CrashFix explora extensão maliciosa no Chrome

Uma nova variante do ataque ClickFix está a explorar uma extensão maliciosa do Google Chrome para levar utilizadores a instalar malware em sistemas Windows, segundo uma análise da Huntress, divulgada pela SecurityWeek. A campanha, denominada CrashFix, recorre ao bloqueio deliberado do browser como técnica de engenharia social.

O ataque começa com a instalação da extensão NexShield, que se faz passar pelo bloqueador de anúncios legítimo uBlock Origin Lite. Após a instalação, a extensão exibe um falso alerta de segurança que conduz a vítima a abrir a janela Run do Windows e a colar um comando copiado automaticamente para a área de transferência.

À semelhança de outras campanhas ClickFix, o comando aparenta ser uma ação de reparação, mas trata-se de um script PowerShell malicioso concebido para instalar o ModeloRAT. De acordo com a Huntress, apenas sistemas ligados a um domínio são efetivamente infetados, indicando que o grupo responsável, identificado como KongTuke e ativo desde pelo menos o início de 2025, está focado em ambientes empresariais.

A funcionalidade central da extensão NexShield é um ataque de negação de serviço (DoS) ao próprio browser. O código executa um ciclo infinito que tenta criar milhares de milhões de ligações chrome.runtime, esgotando recursos do sistema e provocando a falha do Chrome. Sempre que o browser é reiniciado, o utilizador volta a ser confrontado com o falso aviso de segurança que desencadeia o ataque CrashFix.

Para reduzir a probabilidade de deteção imediata, o comportamento malicioso só é ativado 60 minutos após a instalação da extensão. O ataque DoS inicia-se dez minutos depois e repete-se a cada dez minutos, apenas em sistemas cujos identificadores foram previamente enviados para o servidor de comando e controlo (C&C).

O comando executado pela vítima lança inicialmente o utilitário legítimo do Windows Finger.exe, utilizado para recolher informação sobre utilizadores remotos, e descarrega um segundo payload que instala o ModeloRAT. Este trojan de acesso remoto, baseado em Python, permite reconhecimento do sistema, persistência e execução remota de comandos, incluindo mecanismos de comunicação C&C adaptativos, ofuscação, encriptação em duas camadas e técnicas de evasão de análise.

Segundo a Huntress, a campanha demonstra uma evolução nas táticas de engenharia social, combinando a falsificação de um projeto open source de confiança com a criação intencional de frustração no utilizador, através do crash do browser, para o levar a executar ações maliciosas. O objetivo principal parece ser o acesso a Active Directory, recursos internos e dados sensíveis em organizações empresariais.