Kongtuke

Uma nova campanha de malvertising está utilizando uma extensão falsa de bloqueio de anúncios chamada NexShield, que causa falhas intencionais nos navegadores Chrome e Edge. Essa extensão, que foi removida da Chrome Web Store, é promovida como uma ferramenta de privacidade, mas na verdade cria uma condição de negação de serviço (DoS) ao gerar conexões em um loop infinito, esgotando os recursos de memória do navegador. Isso resulta em abas congeladas e uso elevado de CPU e RAM, levando o navegador a travar ou falhar. Após a falha, um pop-up enganoso sugere que o usuário escaneie o sistema para localizar problemas, levando-o a executar comandos maliciosos no prompt de comando do Windows. Esses comandos ativam um script PowerShell ofuscado que baixa e executa um malware chamado ModeloRAT, que permite acesso remoto ao sistema. A campanha, atribuída ao ator de ameaças ‘KongTuke’, destaca a evolução das táticas de ataque, visando ambientes corporativos. Para se proteger, os usuários devem evitar instalar extensões de fontes não confiáveis e realizar uma limpeza completa do sistema se a extensão NexShield foi instalada.