Criminosos estão explorando uma falsa extensão de bloqueio de anúncios no Chrome para roubar dados de usuários desavisados. Especialistas da Huntress identificaram uma campanha maliciosa que distribui um trojan de acesso remoto, conhecido como ModeloRAT, camuflado em uma ferramenta aparentemente legítima. Essa ameaça, denominada KongTuke, utiliza técnicas de engenharia social para enganar vítimas e comprometer sistemas.
Como a falsa extensão de bloqueio de anúncios age
A campanha KongTuke se inicia quando o usuário busca uma solução para bloquear anúncios na loja do Chrome. Um anúncio malicioso direciona a vítima para a extensão “NexShield – Advanced Web Guardian”, que se apresenta como um escudo de privacidade. No entanto, essa ferramenta é um clone do uBlock Origin Lite, um bloqueador de anúncios legítimo. A falsa extensão já foi baixada mais de 5 mil vezes antes de ser desativada.
Após a instalação, a extensão exibe um aviso falso alegando que o navegador parou de forma anormal. Em seguida, instrui o usuário a executar uma verificação de segurança, que na verdade é um comando malicioso. Ao seguir as instruções, o navegador trava devido a um ataque de negação de serviço (DoS), causando lentidão e consumo excessivo de memória.
Consequências da infecção
Uma vez instalado, o malware estabelece um canal de transmissão entre o navegador e um servidor comprometido. Além disso, a falsa extensão de bloqueio de anúncios utiliza um mecanismo de camuflagem, ativando o payload apenas 60 minutos após a infecção. Após esse período, o malware age a cada 10 minutos, criando um ciclo vicioso que reinicia o navegador sempre que ele trava.
Os pesquisadores da Huntress alertam que o KongTuke pode ter como alvo principal ambientes corporativos. Os criminosos exploram dispositivos de funcionários para roubar informações sigilosas, utilizando técnicas de engenharia social para maximizar o impacto do ataque.
Como se proteger
- Verifique a autenticidade das extensões antes de instalá-las.
- Evite clicar em anúncios suspeitos ou links desconhecidos.
- Mantenha seu navegador e sistema operacional atualizados.
- Utilize soluções de segurança confiáveis para detectar ameaças.
Em conclusão, a falsa extensão de bloqueio de anúncios representa uma ameaça significativa à segurança digital. Portanto, é essencial adotar medidas preventivas para evitar cair em armadilhas cibernéticas.