Notícias

Extensão falsa trava navegadores para induzir usuários a se infectarem

por Pieter Arntz | 20 de janeiro de 2026
Laptop exibindo um aviso

Pesquisadores descobriram outro método usado no espírito do ClickFix: o CrashFix.

As campanhas ClickFix utilizam iscas convincentes — historicamente telas de “Verificação Humana” — para induzir o usuário a colar um comando da área de transferência. Após telas falsas Windows , tutoriais em vídeo para Mac e muitas outras variantes, os invasores agora introduziram uma extensão de navegador que trava seu navegador propositalmente.

Pesquisadores descobriram uma cópia de um conhecido bloqueador de anúncios e conseguiram colocá-lo na Chrome Store oficial sob o nome “NexShield – Proteção Advanced ”. A rigor, travar o navegador oferece algum nível de proteção, mas não é o que os usuários normalmente procuram.

Se os usuários instalarem a extensão do navegador, ela se comunica com o servidor nexsnield[.]com (observe o erro ortográfico) para rastrear instalações, atualizações e desinstalações. A extensão usa a API (interface de programação de aplicativos) Alarms integrada Chromepara esperar 60 minutos antes de iniciar seu comportamento malicioso. Esse atraso torna menos provável que os usuários associem imediatamente a instalação à falha que ocorre em seguida.

Após essa pausa, a extensão inicia um loop de negação de serviço que abre repetidamente conexões da porta chrome.runtime, esgotando os recursos do dispositivo até que o navegador deixe de responder e trave.

Após reiniciar o navegador, os usuários veem uma janela pop-up informando que o navegador parou de forma anormal — o que é verdade, mas não inesperado — e oferecendo instruções sobre como evitar que isso aconteça no futuro.

Apresenta ao usuário as instruções já clássicas para abrir Win+R, pressione Ctrl+V, e pressione Enter para “corrigir” o problema. Esse é o comportamento típico do ClickFix. A extensão já colocou um comando PowerShell ou cmd malicioso na área de transferência. Seguindo as instruções, o usuário executa esse comando malicioso e efetivamente infecta seu próprio computador.

Com base em verificações de impressão digital para verificar se o dispositivo está associado ao domínio, existem atualmente dois resultados possíveis.

Se a máquina estiver conectada a um domínio, ela será tratada como um dispositivo corporativo e infectada com um trojan de acesso remoto (RAT) Python chamado ModeloRAT. Em máquinas não conectadas a um domínio, a carga útil é atualmente desconhecida, pois os pesquisadores receberam apenas uma resposta “TEST PAYLOAD!!!!”. Isso pode significar que o desenvolvimento ainda está em andamento ou que outras impressões digitais tornaram a máquina de teste inadequada.

Como se manter seguro

A extensão já não estava disponível na Chrome Store no momento da redação deste artigo, mas irá certamente reaparecer com outro nome. Por isso, aqui ficam algumas dicas para se manter seguro:

  • Se você estiver procurando um bloqueador de anúncios ou outras extensões úteis para o navegador, certifique-se de instalar o produto original. Os cibercriminosos adoram se passar por softwares confiáveis.
  • Nunca execute códigos ou comandos copiados de sites, e-mails ou mensagens, a menos que confie na fonte e compreenda o objetivo da ação. Verifique as instruções de forma independente. Se um site solicitar que você execute um comando ou realize uma ação técnica, verifique a documentação oficial ou entre em contato com o suporte antes de prosseguir.
  • Proteja seus dispositivos. Use uma solução antimalware em tempo real atualizada com um componente de proteção da web.
  • Informe-se sobre as técnicas de ataque em constante evolução. Compreender que os ataques podem vir de vetores inesperados e evoluir ajuda a manter a vigilância. Continue lendo nosso blog!

Dica profissional: o programa gratuito Malwarebytes Browser Guard é um bloqueador de anúncios muito eficaz e protege você contra sites maliciosos. Ela também avisa quando um site copia algo para a sua área de transferência e adiciona um pequeno trecho para tornar quaisquer comandos inúteis.

Não nos limitamos a informar sobre as ameaças, nós as removemos

Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.

Sobre o autor

Pieter Arntz

Pieter Arntz

Pesquisador de inteligência de malware

Foi Microsoft MVP em segurança do consumidor por 12 anos consecutivos. Fala quatro idiomas. Cheira a mogno e a livros encadernados em couro.

ÚLTIMOS ARTIGOS

IA
Uma mão se abaixa para pegar um asterisco de uma senha escrita.

As senhas geradas por IA são um risco à segurança

Fevereiro 19, 2026

As senhas geradas por IA são “altamente previsíveis” e não são verdadeiramente aleatórias, tornando-as mais fáceis de serem quebradas por cibercriminosos.

Notícias
Tenha logo

A fabricante de produtos íntimos Tenga divulgou dados de clientes

Fevereiro 19, 2026

Um ataque de phishing a um funcionário da Tenga pode ter exposto dados de clientes dos EUA. Os clientes devem estar atentos a tentativas de phishing com tema de sextorsão.

Violações de dados
Logotipo da Betterment

A violação de dados da Betterment pode ser pior do que pensávamos

Fevereiro 18, 2026

Essa violação agora parece muito mais grave. Os dados vazados incluem informações pessoais e financeiras detalhadas que os phishers poderiam usar.

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes