Imagine baixar um bloqueador de anúncios para reforçar sua privacidade e, sem perceber, entregar o controle do seu computador a criminosos. Esse é exatamente o cenário explorado pela campanha KongTuke, uma operação maliciosa que vem chamando atenção de pesquisadores de segurança ao utilizar extensões falsas do Chrome como porta de entrada para infecções mais graves. No centro desse esquema está o CrashFix malware, responsável por travar propositalmente o navegador e conduzir o usuário, passo a passo, até a instalação do ModeloRAT.
O caso é alarmante porque explora um elemento fundamental do ecossistema atual da web, a confiança. Projetos de código aberto amplamente conhecidos, como o uBlock Origin, são usados como isca para criar uma falsa sensação de legitimidade. A promessa de uma versão “lite” ou mais compatível acaba sendo suficiente para baixar a guarda de muitos usuários, inclusive os mais experientes.
O que é a campanha KongTuke e o malware CrashFix
A campanha KongTuke é uma operação estruturada que combina distribuição seletiva de malware, engenharia social e abuso de recursos legítimos do sistema. Um dos pilares dessa campanha é o uso de um sistema de distribuição de tráfego, conhecido como TDS, que avalia o perfil da vítima antes de decidir qual conteúdo será entregue. Dessa forma, o ataque se adapta ao ambiente, ao sistema operacional e até ao contexto corporativo do dispositivo.
O CrashFix malware atua como a primeira etapa dessa cadeia. Diferente de malwares tradicionais que buscam se manter ocultos desde o início, ele foi projetado para ser percebido. Seu objetivo é causar instabilidade, travamentos constantes e degradação severa da experiência no navegador, criando um senso de urgência e levando o usuário a buscar uma solução imediata. Esse comportamento faz parte do golpe e não de uma falha técnica acidental.
A extensão NexShield: o lobo em pele de cordeiro
O vetor inicial do ataque é uma extensão maliciosa conhecida como NexShield, que se apresenta como se fosse o uBlock Origin Lite. O nome, a descrição e até a proposta funcional são cuidadosamente escolhidos para imitar o projeto legítimo. Para muitos usuários, trata-se apenas de uma variação mais leve de um bloqueador de anúncios já conhecido.
Por trás da aparência inofensiva, a extensão contém código voltado exclusivamente para causar problemas. Ela abusa das permissões concedidas pelo próprio usuário, executa rotinas excessivas e força o consumo elevado de recursos do navegador. O resultado são abas que não respondem, congelamentos frequentes e, em casos mais extremos, a impossibilidade de usar o Chrome normalmente.
Como o ataque funciona: o ciclo do travamento proposital
Após a instalação da extensão falsa, o navegador entra em um ciclo de falhas contínuas. O CrashFix malware provoca uma espécie de negação de serviço local, explorando APIs do Chrome para gerar loops e travamentos controlados. Como essas ações ocorrem dentro do contexto de uma extensão, muitas soluções de segurança não as bloqueiam de imediato.
Nesse momento, a vítima é bombardeada por mensagens que sugerem erros críticos, falhas de compatibilidade ou corrupção do sistema. O ataque cria a narrativa perfeita para convencer o usuário de que o problema exige uma correção manual urgente. Quanto maior a frustração, maior a chance de a próxima etapa do golpe funcionar.
A armadilha do ClickFix e o uso do comando Finger
É aqui que entra a técnica conhecida como ClickFix. Aproveitando o estado de estresse do usuário, os criminosos apresentam instruções detalhadas para “resolver” o problema. Essas orientações costumam parecer técnicas e plausíveis, incluindo a abertura do prompt de comando no Windows e a execução de determinados comandos.
Entre eles, está o uso do Finger, uma ferramenta legítima do sistema, mas que nesse contexto é manipulada para baixar ou executar scripts maliciosos. Ao seguir essas instruções, o próprio usuário autoriza a instalação do segundo estágio da infecção. Esse método é especialmente perigoso porque contorna diversas camadas de proteção, já que não depende de uma exploração automática, mas sim da ação consciente da vítima.
ModeloRAT: o perigo silencioso em redes corporativas
Depois de instalado, o ModeloRAT representa uma ameaça muito mais séria. Trata-se de um trojan de acesso remoto completo, com foco em persistência e controle contínuo do sistema. Em computadores domésticos, ele pode coletar informações, manter sessões remotas e aguardar novos comandos. No entanto, o verdadeiro risco aparece em ambientes corporativos.
Quando o ModeloRAT detecta que está em uma máquina ingressada em domínio ou conectada a uma rede empresarial, seu comportamento muda. Ele passa a executar rotinas de reconhecimento interno, coletar credenciais, movimentar-se lateralmente e abrir caminho para ataques mais amplos. Suas capacidades incluem execução remota de scripts, atualização automática e adaptação conforme o alvo, o que o torna uma ferramenta valiosa para operações de longo prazo.
Como se proteger e identificar extensões maliciosas
A principal defesa contra esse tipo de ataque começa com atenção redobrada ao instalar extensões. Verificar o ID da extensão é uma prática simples e eficaz, já que extensões legítimas mantêm identificadores consistentes. Cópias maliciosas costumam apresentar IDs diferentes, mesmo quando imitam perfeitamente o nome e a descrição.
Também é fundamental analisar quem é o desenvolvedor. Projetos conhecidos possuem histórico público, documentação e presença clara na comunidade. Desenvolvedores recém-criados ou sem referências devem ser vistos com desconfiança. O número de downloads e avaliações ajuda, mas não deve ser o único critério, pois campanhas maliciosas podem manipular esses indicadores.
Outro ponto crucial é revisar as permissões solicitadas. Um bloqueador de anúncios não precisa de acesso irrestrito a todas as abas, execução de scripts complexos ou interação profunda com o sistema. Em ambientes corporativos, o uso de políticas de restrição e listas de extensões aprovadas reduz drasticamente a superfície de ataque.
Conclusão
O caso do CrashFix malware e do ModeloRAT deixa claro que a segurança cibernética atual não depende apenas de ferramentas, mas de comportamento. A campanha KongTuke mostra como extensões falsas, travamentos induzidos e engenharia social podem ser combinados para transformar o próprio usuário em parte do ataque. Mesmo lojas oficiais não são garantia absoluta de segurança quando a sofisticação das ameaças cresce nesse ritmo.
Manter uma postura crítica, verificar detalhes e desconfiar de soluções fáceis para problemas graves são atitudes essenciais. Em um cenário onde o navegador é a principal porta de entrada para trabalho, estudo e lazer, protegê-lo é proteger todo o sistema.