Pesquisadores da Huntress identificaram uma campanha (batizada de CrashFix) que usa extensões de navegador maliciosas para causar travamentos e induzir vítimas a executar comandos perigosos por engano.
Resumo da operação
A campanha entrega uma extensão disfarçada como o bloqueador de anúncios "NexShield". Após instalação, há um período de latência (a extensão permanece dormente por cerca de uma hora ou mais) antes de ativar um mecanismo que provoca negação de serviço no navegador e exibe avisos falsos instruindo a vítima a executar um comando copiado no clipboard.
Mecanismo técnico
Conforme a análise, o payload de CrashFix cria um número muito elevado de conexões de runtime ports dentro do contexto da extensão (o relatório cita um laço que produz uma escala massiva de portas), consumindo memória e CPU até travar o navegador. Depois do travamento, um alerta falso orienta o usuário a abrir o Run do Windows e colar um comando — previamente colocado no clipboard pela extensão — que, ao ser executado, aciona payloads PowerShell maliciosos.
Atribuição e componentes
Huntress aponta a origem da campanha ao grupo KongTuke (ativo desde início de 2025). A investigação identificou três componentes principais: a extensão (mimetizando uBlock Origin Lite/NexShield), o mecanismo CrashFix que provoca o travamento e um RAT em Python chamado ModeloRAT que aparece nas variantes entregues a máquinas corporativas.
Alvo e diferenciação de variantes
Os pesquisadores observaram que máquinas associadas a domínios corporativos recebem cargas mais potentes — indicando priorização de alvos empresariais — enquanto sistemas standalone tendem a receber variantes menos sofisticadas. A campanha usa anúncios maliciosos que direcionam usuários a páginas com a extensão na loja do Chrome e lógicas de ativação atrasada (até cinco dias em variantes avançadas) para evitar detecção estática.
Impacto operacional
- Comprometimento de credenciais e execução remota via ModeloRAT em ambientes corporativos;
- Engenharia social que induz operadores a executar comandos perigosos (clipboard poisoning + popup convincente);
- Persistência e furtividade devido ao atraso na ativação e ao carregamento dinâmico de payloads codificados dentro de arquivos PNG.
Recomendações práticas
- Remover extensões suspeitas e verificar assinaturas/descargas recentes em navegadores corporativos.
- Aplicar políticas de extensão por allowlist nas consoles de gestão (GPO/MDM) para impedir instalações não autorizadas em endpoints corporativos.
- Bloquear ou monitorar downloads de extensões em portais de anúncios conhecidos e revisar logs de EDR/Proxy por conexões a infraestruturas associadas a KongTuke.
- Educar usuários: não colar comandos desconhecidos do clipboard nem executar instruções vindas de popups não validadas.
O que se sabe e o que falta
O relatório da Huntress documenta a infraestrutura e o uso do ModeloRAT, mas detalhes sobre indicadores de comprometimento (hashes, domínios C2 completos) não estão reproduzidos integralmente na matéria disponível. Times de SOC/IR devem consultar o relatório técnico original da Huntress para IOCs e amostras.