Campanha KongTuke usa extensão maliciosa para atacar usuários do Chrome

BR Defense Center (By River de Morais e Silva)
malware

Pesquisadores de cibersegurança revelaram uma campanha ativa chamada KongTuke, que utiliza uma extensão maliciosa do Google Chrome disfarçada de bloqueador de anúncios. Essa extensão, chamada ‘NexShield – Advanced Web Guardian’, foi projetada para travar o navegador e enganar as vítimas a executar comandos arbitrários. A extensão, que teve mais de 5.000 downloads, simula um alerta de segurança falso, levando os usuários a realizar uma ‘varredura’ que resulta em um ataque de negação de serviço (DoS) que causa o congelamento do navegador. Após a instalação, a extensão envia um ID único para um servidor controlado por atacantes, permitindo o rastreamento das vítimas. O ataque culmina na instalação de um trojan de acesso remoto (RAT) chamado ModeloRAT, que permite que os atacantes controlem os sistemas comprometidos. A campanha KongTuke destaca a evolução das táticas de engenharia social, explorando a frustração do usuário para criar um ciclo de infecção autossustentável.

Fonte: https://thehackernews.com/2026/01/crashfix-chrome-extension-delivers.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
19/01/2026 • Risco: ALTO
MALWARE

Campanha KongTuke usa extensão maliciosa para atacar usuários do Chrome

RESUMO EXECUTIVO
A campanha KongTuke representa uma ameaça significativa para usuários do Google Chrome, utilizando engenharia social para comprometer sistemas. O uso de uma extensão maliciosa que simula um bloqueador de anúncios e a instalação do ModeloRAT indicam um risco elevado para a segurança das informações e a conformidade regulatória.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis custos associados à recuperação de sistemas e mitigação de danos.
Operacional
Comprometimento de sistemas e controle remoto através do ModeloRAT.
Setores vulneráveis
['Setores de tecnologia', 'Empresas que utilizam Google Chrome em ambientes corporativos']

📊 INDICADORES CHAVE

Extensão maliciosa baixada mais de 5.000 vezes. Indicador
Ciclo de ataque se repete a cada 10 minutos após a instalação. Contexto BR
RAT ModeloRAT utiliza RC4 para comunicação C2. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a presença da extensão 'NexShield' em sistemas.
2 Remover a extensão maliciosa e monitorar atividades suspeitas.
3 Monitorar tentativas de conexão com os IPs associados ao ataque.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a evolução das táticas de ataque que exploram a frustração do usuário e a confiança em extensões legítimas.

⚖️ COMPLIANCE

Implicações para a LGPD, especialmente em relação ao rastreamento de usuários.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).