Disfarçada como um bloqueador de anúncios, ela instala malware no seu dispositivo e acede aos seus dados. Vamos explicar como identificá-la e como ela funciona. Uma extensão web, que se apresenta como um bloqueador de anúncios legítimo, começou a atacar utilizadores de navegadores baseados em Chromium. O complemento não só faz com que o Chrome e o Edge congelem, como também instala malware para roubar informações confidenciais, incluindo palavras-passe de todos os tipos de contas e credenciais de acesso a carteiras virtuais e homebanking.
A ameaça foi identificada por investigadores da empresa de cibersegurança Huntress, que atribuem o ataque a cibercriminosos conhecidos pelo pseudónimo KongTuke. A técnica utilizada recebe o nome de ClickFix e, nesta variante específica, foi batizada de CrashFix pela forma como simula falhas críticas do navegador para manipular as vítimas.
É assim que funciona a extensão falsa que imita um bloqueador popular
O complemento malicioso é distribuído sob o nome NexShield e se faz passar por uBlock Origin Lite, uma versão real e confiável de um bloqueador de anúncios amplamente utilizado. De acordo com a análise da Huntress, a extensão aparece entre os primeiros resultados quando os utilizadores procuram alternativas para bloquear publicidade, o que aumenta consideravelmente a sua taxa de instalação.
Uma vez adicionada ao navegador, a NexShield não mostra comportamentos suspeitos imediatos. Durante aproximadamente uma hora, permanece inativa, uma estratégia que reforça a sua aparência legítima e reduz as probabilidades de o utilizador a eliminar preventivamente. O ataque é ativado após esse período inicial. Nesse momento, a extensão começa a consumir excessivamente os recursos do sistema e satura a CPU e a memória até causar um bloqueio total do navegador. Para o utilizador, a situação se assemelha a uma falha técnica grave, sem sinais claros de que se trata de uma ação intencional.
Depois de forçar o encerramento e reiniciar o navegador, aparece uma mensagem de aviso falsa. O aviso indica que o encerramento anterior foi «anómalo» e sugere realizar uma verificação de segurança para corrigir o suposto problema. Minutos depois, é apresentado um novo ecrã com instruções detalhadas para «corrigir o erro», que incluem copiar e executar um comando no sistema operativo.
Essa etapa é fundamental para o ataque. Ao executar o comando, a vítima descarrega e instala um script malicioso que opera em segundo plano. De acordo com os investigadores, este malware permite o roubo de dados armazenados no computador e concede controlo remoto ao atacante, o que expõe senhas, informações pessoais e outros dados críticos.
O que fazer se a extensão estiver instalada no Chrome ou Edge
Se suspeitar que tem o NexShield ou outra extensão que imita o uBlock Origin Lite instalada, o primeiro passo é removê-la imediatamente do gestor de extensões do navegador. No Chrome e no Edge, basta acessar a secção de complementos, identificar o nome suspeito e removê-lo completamente. Após desinstalar a extensão, recomenda-se executar uma análise completa do sistema com uma ferramenta de segurança confiável, pois o ataque inclui o download de malware que pode continuar ativo em segundo plano. Também é importante alterar todas as senhas usadas no navegador afetado, especialmente as vinculadas a e-mails, contas financeiras, carteiras virtuais e homebanking.
Quais são os sinais que permitem detectar uma extensão maliciosa
O comportamento também é um sinal relevante. O consumo excessivo de CPU ou memória, bloqueios inesperados do navegador ou mensagens de erro que aparecem sem uma ação prévia do utilizador podem indicar que o complemento executa funções alheias ao seu propósito original. Outro indício é o aparecimento de mensagens que solicitam ações manuais fora do navegador. Nenhuma extensão legítima deve pedir ao utilizador para copiar e executar comandos no sistema operativo para “corrigir erros” ou “restaurar a segurança”. Esse tipo de indicação geralmente faz parte de esquemas de engenharia social destinados a instalar malware de forma dissimulada.
Um lembrete sobre os riscos das extensões
O caso do NexShield evidencia um dos vetores de ataque mais subestimados pelos utilizadores: as extensões do navegador. Embora sejam distribuídas por lojas oficiais e utilizem nomes semelhantes a ferramentas conhecidas, esses complementos podem se tornar portas de entrada para campanhas de roubo de informações em grande escala.É importante também que nenhum bloqueador de anúncios legítimo solicite a execução manual de comandos nem provoque falhas deliberadas no sistema. Verificar o nome exato do desenvolvedor, a quantidade de downloads e as permissões solicitadas são algumas das poucas barreiras eficazes contra esse tipo de fraude.
