Modelorat

O grupo de cibercriminosos KongTuke, conhecido como um corretor de acesso inicial, começou a utilizar o Microsoft Teams para realizar ataques de engenharia social, conseguindo acesso persistente a redes corporativas em apenas cinco minutos. Os atacantes convencem os usuários a executar um comando PowerShell que instala o malware ModeloRAT, já observado em ataques anteriores. Essa mudança de tática marca a primeira vez que KongTuke utiliza uma plataforma de colaboração para obter acesso inicial, além de suas abordagens anteriores baseadas na web. Os pesquisadores da ReliaQuest notaram que a campanha está ativa desde pelo menos abril de 2026, com o grupo alternando entre cinco locatários do Microsoft 365 para evitar bloqueios. O comando PowerShell malicioso baixa um arquivo ZIP do Dropbox que contém um ambiente WinPython portátil, que por sua vez executa o malware. O ModeloRAT evoluiu, apresentando uma arquitetura de comando e controle mais resiliente, múltiplos caminhos de acesso independentes e mecanismos de persistência expandidos. Para se proteger contra esses ataques, recomenda-se restringir a federação externa do Microsoft Teams e utilizar indicadores de comprometimento para detectar atividades suspeitas.

Um novo ataque cibernético, identificado como uma variante do ClickFix, utiliza uma extensão falsa chamada NexShield, que se apresenta como um bloqueador de anúncios para os navegadores Chrome e Edge. Desenvolvido pelo grupo de ameaças KongTuke, esse ataque é mais sofisticado, pois cria um problema real ao travar o navegador da vítima. Após a instalação, a extensão inicia suas atividades maliciosas uma hora depois, causando uma condição de negação de serviço (DoS) que força o usuário a reiniciar o navegador manualmente. Ao reiniciar, uma mensagem de erro falsa aparece, levando o usuário a copiar um comando no Prompt de Comando do Windows, que, na verdade, instala o ModeloRAT, um trojan de acesso remoto que concede controle total sobre o dispositivo comprometido. Embora os pesquisadores de segurança acreditem que o KongTuke esteja focando principalmente em usuários corporativos, a possibilidade de que indivíduos também sejam alvos no futuro não pode ser descartada. Este ataque destaca a importância de uma vigilância constante e de práticas de segurança cibernética robustas para evitar infecções por malware.

Uma nova campanha de malvertising está utilizando uma extensão falsa de bloqueio de anúncios chamada NexShield, que causa falhas intencionais nos navegadores Chrome e Edge. Essa extensão, que foi removida da Chrome Web Store, é promovida como uma ferramenta de privacidade, mas na verdade cria uma condição de negação de serviço (DoS) ao gerar conexões em um loop infinito, esgotando os recursos de memória do navegador. Isso resulta em abas congeladas e uso elevado de CPU e RAM, levando o navegador a travar ou falhar. Após a falha, um pop-up enganoso sugere que o usuário escaneie o sistema para localizar problemas, levando-o a executar comandos maliciosos no prompt de comando do Windows. Esses comandos ativam um script PowerShell ofuscado que baixa e executa um malware chamado ModeloRAT, que permite acesso remoto ao sistema. A campanha, atribuída ao ator de ameaças ‘KongTuke’, destaca a evolução das táticas de ataque, visando ambientes corporativos. Para se proteger, os usuários devem evitar instalar extensões de fontes não confiáveis e realizar uma limpeza completa do sistema se a extensão NexShield foi instalada.

Pesquisadores de cibersegurança revelaram uma campanha ativa chamada KongTuke, que utiliza uma extensão maliciosa do Google Chrome disfarçada de bloqueador de anúncios. Essa extensão, chamada ‘NexShield – Advanced Web Guardian’, foi projetada para travar o navegador e enganar as vítimas a executar comandos arbitrários. A extensão, que teve mais de 5.000 downloads, simula um alerta de segurança falso, levando os usuários a realizar uma ‘varredura’ que resulta em um ataque de negação de serviço (DoS) que causa o congelamento do navegador. Após a instalação, a extensão envia um ID único para um servidor controlado por atacantes, permitindo o rastreamento das vítimas. O ataque culmina na instalação de um trojan de acesso remoto (RAT) chamado ModeloRAT, que permite que os atacantes controlem os sistemas comprometidos. A campanha KongTuke destaca a evolução das táticas de engenharia social, explorando a frustração do usuário para criar um ciclo de infecção autossustentável.