Sim. Pesquisadores de
segurança identificaram uma campanha maliciosa chamada CrashFix, que
utilizava uma extensão falsa do Google Chrome para travar
propositalmente o navegador e enganar usuários na instalação de
um vírus. A extensão teria ultrapassado 5 mil downloads antes de
ser removida da Chrome Web Store.
Como o golpe funcionava
A extensão maliciosa se
chamava:
- “NexShield – Advanced Web Guardian”
Ela se apresentava como um
bloqueador de anúncios legítimo, muito parecido visualmente com o famoso uBlock
Origin Lite. Segundo os pesquisadores da Huntress, o código era praticamente um
clone da extensão original, mas com funções ocultas maliciosas.
Depois da instalação, o
malware:
- Ficava “adormecido” por cerca de 60
minutos;
- Começava a consumir memória do computador;
- Criava loops infinitos e conexões falsas;
- Fazia o Chrome travar completamente.
O objetivo era fazer o usuário
acreditar que havia um problema sério no navegador.
O truque mais perigoso
Após o travamento, quando o
navegador era aberto novamente, aparecia um alerta falso simulando uma mensagem
de segurança do Microsoft Edge ou do Windows.
Esse aviso dizia que o
navegador havia sido encerrado de forma anormal e sugeria uma “correção”. Então
pedia para o usuário:
- apertar Win + R;
- abrir o “Executar” do Windows;
- colar um comando copiado automaticamente
pela própria extensão.
Ao executar esse comando, o
computador baixava o malware chamado ModeloRAT.
O que é o ModeloRAT
O ModeloRAT é um trojan de
acesso remoto (RAT). Isso significa que criminosos podem controlar partes do
computador infectado à distância.
Segundo os relatórios, ele
conseguia:
- executar comandos remotamente;
- baixar outros vírus;
- rodar scripts PowerShell;
- acessar arquivos;
- manter persistência no Windows;
- identificar antivírus instalados;
- detectar máquinas corporativas.
Os pesquisadores afirmam que
computadores corporativos eram os principais alvos, porque o acesso podia
depois ser vendido para grupos de ransomware.
Como ele escapava da detecção
O malware utilizava
ferramentas legítimas do próprio Windows, incluindo:
- finger.exe
- PowerShell codificado em Base64
- técnicas de ofuscação XOR
Isso dificultava a detecção
por antivírus tradicionais.
Além disso, o código
verificava:
- se estava rodando em máquina virtual;
- se havia softwares de análise;
- se o PC fazia parte de uma rede
empresarial.
Por que isso preocupa tanto
O caso chamou atenção porque:
- a extensão estava na loja oficial do
Chrome;
- imitava uma ferramenta popular;
- usava engenharia social avançada;
- não infectava imediatamente;
- explorava a frustração do usuário após
travamentos.
Pesquisas recentes mostram que
extensões maliciosas continuam conseguindo burlar os sistemas automáticos de
verificação das lojas de navegadores.
Como saber se você pode ter
sido afetado
Sinais suspeitos:
- Chrome travando sem motivo;
- uso excessivo de memória;
- pop-ups pedindo para executar comandos;
- mensagens estranhas após reiniciar o
navegador;
- extensão “NexShield” instalada.
Para verificar:
- Abra:
chrome://extensions - Procure extensões desconhecidas;
- Remova imediatamente qualquer item
suspeito;
- Faça uma varredura completa com antivírus
atualizado.
Como se proteger
Especialistas recomendam:
- evitar instalar extensões pouco
conhecidas;
- conferir avaliações e histórico do
desenvolvedor;
- desconfiar até da Chrome Web Store;
- nunca executar comandos sugeridos por
pop-ups;
- usar bloqueadores famosos e oficiais;
- manter navegador e antivírus atualizados.
Um detalhe importante:
empresas legítimas praticamente nunca pedem para usuários colarem comandos
manualmente no “Executar” do Windows para resolver problemas do navegador.
O problema das extensões
maliciosas está crescendo
Pesquisas acadêmicas recentes
mostram aumento no uso de extensões falsas para:
- roubo de dados;
- espionagem;
- redirecionamento de tráfego;
- mineração;
- ataques corporativos.
Com o crescimento de
ferramentas de IA e extensões “milagrosas”, criminosos estão aproveitando a
confiança dos usuários em complementos aparentemente úteis.
0 Comentários