Uma extensão chamada NexShield e uma vez hospedada na Chrome Web Store é, na verdade, um malware destinado a roubar seus dados por meio de um elaborado esquema de hacking.
O malware pode se esconder em qualquer canto da web, como comprovado pela recente descoberta de uma nova ameaça pelos especialistas em segurança cibernética da Huntress.
Uma extensão do Chrome que pretende bloquear anúncios e foi baixada mais de 5.000 vezes foi identificada como a raiz de um complexo esquema fraudulento destinado a desviar seus dados e assumir o controle das notas do seu computador Computador bipando.
Uma origem falsa do uBlock
Tudo começa com uma extensão clássica do Chrome chamada NexShield. Uma vez hospedado na Chrome Web Store (antes da descoberta da crise) e com site próprio, este programa apresenta-se como um bloqueador de anúncios inspirado no famoso uBlock Origin. Tão inspirado que, na realidade, grande parte de seu código é emprestado dele e sua autoria é falsamente atribuída a Raymond Hill, criador da verdadeira extensão uBlock Origin.
Mascarando-se por trás desta falsa legitimidade, o NexShield, no entanto, bloqueia anúncios por um tempo, antes de executar o seu projeto prejudicial. Após uma curta hora de operação normal (apenas para acabar com as suspeitas), a extensão forçará uma falha do navegador por meio de um ataque de negação de serviço. Ao reiniciar, uma falsa janela de erro será exibida solicitando que você “escaneie” seu computador usando um comando para colar no terminal do Windows.
Se a ação for executada, o computador será infectado e malware e outros scripts maliciosos poderão ser baixados bem debaixo do nariz do usuário. Este é exatamente o cavalo de Tróia ModeloRat usado. Este último é capaz de baixar e instalar arquivos .exe, executar comandos do PowerShell, registrar-se persistentemente no registro do Windows e atualizar-se para evitar tentativas de extermínio.
Nunca cole comandos desconhecidos do Windows
Embora o malware inicialmente pareça ter como alvo redes empresariais, ainda é necessário ter muito cuidado caso você tenha instalado o aplicativo NexShield recentemente. A primeira coisa a fazer é desinstalá-lo, depois fazer uma verificação completa do sistema e possivelmente uma reinstalação.
Para ir mais longe
Este novo malware invisível para Android controla seu smartphone para esvaziar sua conta bancária
O método de infecção apelidado de “CrashFix” lembra outra ameaça que usava atualizações falsas para encorajar os usuários a colar comandos no terminal do Windows. O conselho é o mesmo, nunca confie em um comando que aparece espontaneamente no seu computador.