Uma nova campanha de malvertising está utilizando uma extensão falsa de bloqueio de anúncios chamada NexShield, que causa falhas intencionais nos navegadores Chrome e Edge. Essa extensão, que foi removida da Chrome Web Store, é promovida como uma ferramenta de privacidade, mas na verdade cria uma condição de negação de serviço (DoS) ao gerar conexões em um loop infinito, esgotando os recursos de memória do navegador. Isso resulta em abas congeladas e uso elevado de CPU e RAM, levando o navegador a travar ou falhar. Após a falha, um pop-up enganoso sugere que o usuário escaneie o sistema para localizar problemas, levando-o a executar comandos maliciosos no prompt de comando do Windows. Esses comandos ativam um script PowerShell ofuscado que baixa e executa um malware chamado ModeloRAT, que permite acesso remoto ao sistema. A campanha, atribuída ao ator de ameaças ‘KongTuke’, destaca a evolução das táticas de ataque, visando ambientes corporativos. Para se proteger, os usuários devem evitar instalar extensões de fontes não confiáveis e realizar uma limpeza completa do sistema se a extensão NexShield foi instalada.
Fonte: https://www.bleepingcomputer.com/news/security/fake-ad-blocker-extension-crashes-the-browser-for-clickfix-attacks/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
20/01/2026 • Risco: ALTO
MALWARE
Campanha de malvertising usa extensão falsa para atacar navegadores
RESUMO EXECUTIVO
O ataque utilizando a extensão NexShield representa uma ameaça significativa para ambientes corporativos, especialmente devido à sua capacidade de executar comandos maliciosos e comprometer dados. A evolução das táticas de ataque por parte do grupo KongTuke indica um foco crescente em redes empresariais, o que pode resultar em consequências financeiras e legais severas.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais custos associados à recuperação de sistemas e perda de dados.
Operacional
Comprometimento de sistemas e acesso remoto não autorizado.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Setor Público']
📊 INDICADORES CHAVE
Extensão NexShield foi promovida como uma ferramenta de bloqueio de anúncios.
Indicador
ModeloRAT é um novo malware baseado em Python.
Contexto BR
A extensão foi removida da Chrome Web Store após a descoberta.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se a extensão NexShield está instalada e removê-la imediatamente.
2
Implementar políticas de segurança que restrinjam a instalação de extensões de fontes não confiáveis.
3
Monitorar atividades suspeitas nos sistemas e redes, especialmente em relação a comandos executados via PowerShell.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de navegadores, que são portas de entrada para ataques cibernéticos. A exploração de extensões maliciosas pode comprometer dados sensíveis e a integridade dos sistemas.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
