Resumo
Relatórios apontam uma campanha de malvertising que distribui uma extensão falsa de bloqueador de anúncios, chamada NexShield, para Chrome e Edge. A extensão intencionalmente provoca o travamento do navegador como etapa preparatória para ataques do tipo "ClickFix".
O que se sabe
Segundo a apuração do BleepingComputer, a campanha usa a extensão NexShield para forçar o travamento do navegador em instalações de vítimas. O comportamento de crash é parte do fluxo malicioso: ao derrubar o processo do navegador os operadores facilitam fases subsequentes do ataque — identificadas no relatório como "ClickFix" — que exploram a interrupção para engendrar ações de engenharia social ou redirecionamento.
Vetor e tática observada
- Distribuição: malvertising que direciona usuários a instalar uma extensão que se passa por bloqueador de anúncios para Chrome e Edge.
- Comportamento malicioso: a extensão intencionalmente causa falhas no navegador; esse estado de instabilidade é aproveitado pelos atacantes em fases seguintes do ataque.
- Plataformas afetadas: navegadores Chromium (Chrome, Edge) com a extensão instalada.
Impacto e riscos
O impacto imediato é a perda de disponibilidade do navegador e a possível exposição do usuário a fluxos maliciosos desencadeados após o crash. Embora o relatório não detalhe dados exfiltrados ou escalonamento posterior, o padrão descrito — malvertising → instalação de extensão → crash — sugere que o objetivo primário é criar uma condição de erro explorável para induzir o usuário a executar ações inseguras (por exemplo, aceitar prompts, instalar software de "reparo" ou seguir instruções de suporte falso).
Limitações da cobertura
As informações disponíveis descrevem o comportamento inicial (instalação da extensão e crash do navegador) e classificam a sequência como preparação para ataques ClickFix. O relatório não disponibiliza amostras do código, domínios de comando e controle, nem métricas de alcance (número de instalações) — dados que ainda faltam para avaliar escala e sofisticação completa da campanha.
Mitigações práticas
- Remover imediatamente extensões não verificadas ou recentemente instaladas e reiniciar o navegador em modo seguro, se disponível.
- Evitar instalar extensões a partir de anúncios; preferir repositórios oficiais e revisar avaliações e permissões antes da instalação.
- Bloquear domínios de malvertising conhecidos no perimeter (ad filters, proxy, DNS) e aplicar políticas de bloqueio de downloads via anúncios.
- Educação: alertar usuários sobre táticas de suporte falso e fluxos que começam após um "travamento" do navegador.
- Monitoramento: validar logs de endpoints e proxys para picos de falhas de processo de navegadores e correlacionar com instalações de extensões.
Observações para equipes de segurança
Embora o incidente descrito seja aparentemente simples na sua engenharia (extensão que causa crash), ele explora um vetor de confiança (extensões) e um ponto fraco do ciclo de vida do usuário (reação a travamentos). Equipes de incidência devem tratar eventos de crash em navegadores com a mesma prioridade dada a alertas de comprometimento — especialmente quando coincidirem com instalações recentes de extensões ou eventos de malvertising em logs de proxy.
Fonte: BleepingComputer (Bill Toulas).