- Nova variante ClickFix usa bloqueador de anúncios falso NexShield para espalhar malware
- O ataque trava os navegadores e engana os usuários para que instalem o ModeloRAT via prompt de comando
- KongTuke tem como alvo empresas; indivíduos podem enfrentar riscos futuros
Os ataques ClickFix estão evoluindo e agora criam um problema real a ser corrigido, em vez de tentar fazer com que a vítima acredite que existe um, alertaram os especialistas.
Normalmente, ClickFix seria um pop-up em uma página ou um documento .docx ou .pdf falso. As vítimas seriam informadas de que não poderiam visualizar o conteúdo de uma página da Web ou abrir os documentos até que “corrigissem” um problema copiando e colando um comando no programa Windows Run.
Obviamente, nunca houve problema e tudo o que fizeram foi executar um comando que instalou malware – até agora.
Falhando o navegador
A mais nova variante gira em torno de um bloqueio de anúncios falsos complemento do navegador para Chrome e Edge chamado NexShield. Ele foi construído por um agente de ameaças chamado KongTuke e é um esquema bastante elaborado, com sites dedicados que falsificam repositórios de navegadores e o malware está presente em lojas oficiais. Ele também afirma ter sido construído por Raymond Hill, a pessoa por trás do uBlock Origin, um legítimo bloqueador de anúncios com 14 milhões de usuários.
Para garantir que o ataque não seja rastreado até o complemento, ele inicia sua atividade maliciosa uma hora após ser instalado. Quando o tempo passa, o malware cria uma condição de negação de serviço (DoS) que trava o navegador e força o usuário a abrir o Gerenciador de Tarefas e reiniciá-lo manualmente.
Ao reiniciar, o complemento exibe uma mensagem de erro falsa e, no estilo típico do ClickFix, oferece uma solução.
Essa solução é copiar e colar um comando no Prompt de Comando do Windows que, por sua vez, baixa e instala o ModeloRAT, um trojan de acesso remoto que concede acesso total ao dispositivo comprometido.
Os pesquisadores de segurança Huntress, que detectaram o ataque pela primeira vez, afirmam que o KongTuke tem como alvo principal usuários corporativos e até agora está poupando indivíduos e outros usuários privados. Isso, entretanto, não significa que o CrashFix não terá como alvo mais pessoas no futuro.
Através BipandoComputador
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.