Notícias

Extensão falsa trava navegadores para induzir os utilizadores a infectarem os seus próprios computadores

por Pieter Arntz | 20 de janeiro de 2026
Computador portátil a mostrar um aviso

Os investigadores descobriram outro método utilizado no espírito do ClickFix: o CrashFix.

As campanhas ClickFix utilizam iscas convincentes — historicamente, ecrãs de «verificação humana» — para induzir o utilizador a colar um comando da área de transferência. Após ecrãs falsos Windows , tutoriais em vídeo para Mac e muitas outras variantes, os atacantes introduziram agora uma extensão do navegador que bloqueia o seu navegador propositadamente.

Os investigadores descobriram uma cópia de um conhecido bloqueador de anúncios e conseguiram colocá-lo na Chrome Store oficial com o nome «NexShield – Advanced Protection». A rigor, travar o navegador oferece algum nível de proteção, mas não é o que os utilizadores normalmente procuram.

Se os utilizadores instalarem a extensão do navegador, ela liga para casa para nexsnield[.]com (observe o erro ortográfico) para rastrear instalações, atualizações e desinstalações. A extensão usa a API (interface de programação de aplicações) Alarms integrada Chromepara esperar 60 minutos antes de iniciar o seu comportamento malicioso. Esse atraso torna menos provável que os utilizadores associem imediatamente a instalação à falha que se segue.

Após essa pausa, a extensão inicia um ciclo de negação de serviço que abre repetidamente as ligações da porta chrome.runtime, esgotando os recursos do dispositivo até que o navegador deixe de responder e trave.

Após reiniciar o navegador, os utilizadores veem uma janela pop-up informando que o navegador parou de forma anormal — o que é verdade, mas não inesperado — e oferecendo instruções sobre como evitar que isso aconteça no futuro.

Apresenta ao utilizador as instruções agora clássicas para abrir Win+R, pressione Ctrl+V, e pressione Enter para «corrigir» o problema. Esse é o comportamento típico do ClickFix. A extensão já colocou um comando PowerShell ou cmd malicioso na área de transferência. Ao seguir as instruções, o utilizador executa esse comando malicioso e efetivamente infecta o seu próprio computador.

Com base nas verificações de impressão digital para verificar se o dispositivo está ligado ao domínio, existem atualmente dois resultados possíveis.

Se a máquina estiver ligada a um domínio, ela é tratada como um dispositivo corporativo e infectada com um trojan de acesso remoto (RAT) em Python chamado ModeloRAT. Em máquinas não ligadas a um domínio, a carga útil é atualmente desconhecida, pois os investigadores receberam apenas uma resposta “TEST PAYLOAD!!!!”. Isso pode implicar um desenvolvimento contínuo ou outra identificação que tornou a máquina de teste inadequada.

Como se manter seguro

A extensão já não estava disponível na Chrome Store no momento da redação deste artigo, mas sem dúvida reaparecerá com outro nome. Portanto, aqui estão algumas dicas para se manter seguro:

  • Se estiver à procura de um bloqueador de anúncios ou outras extensões úteis para o navegador, certifique-se de que está a instalar o produto original. Os cibercriminosos adoram se passar por softwares confiáveis.
  • Nunca execute códigos ou comandos copiados de sites, e-mails ou mensagens, a menos que confie na fonte e compreenda o objetivo da ação. Verifique as instruções de forma independente. Se um site solicitar que execute um comando ou realize uma ação técnica, verifique a documentação oficial ou entre em contacto com o suporte antes de prosseguir.
  • Proteja os seus dispositivos. Use uma solução antimalware em tempo real atualizada com um componente de proteção da Web.
  • Informe-se sobre as técnicas de ataque em constante evolução. Compreender que os ataques podem vir de vetores inesperados e evoluir ajuda a manter a vigilância. Continue a ler o nosso blog!

Dica profissional: o programa gratuito Malwarebytes Browser Guard é um bloqueador de anúncios muito eficaz e protege-o de sites maliciosos. Também avisa quando um site copia algo para a sua área de transferência e adiciona um pequeno trecho para tornar quaisquer comandos inúteis.

Não nos limitamos a comunicar as ameaças - eliminamo-las

Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.

Sobre o autor

Pieter Arntz

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.

ÚLTIMOS ARTIGOS

IA
Uma mão estende-se para apanhar um asterisco de uma palavra-passe escrita.

As palavras-passe geradas por IA são um risco à segurança

fevereiro 19, 2026

As palavras-passe geradas por IA são «altamente previsíveis» e não são verdadeiramente aleatórias, tornando-as mais fáceis de serem decifradas por cibercriminosos.

Notícias
Tenha logo

A fabricante de produtos íntimos Tenga divulgou dados de clientes

fevereiro 19, 2026

Um ataque de phishing a um funcionário da Tenga pode ter exposto dados de clientes dos EUA. Os clientes devem estar atentos a tentativas de phishing com tema de sextorsão.

Violações de dados
Logótipo da Betterment

A violação de dados da Betterment pode ser pior do que pensávamos

fevereiro 18, 2026

Esta violação parece agora muito mais grave. Os dados que vazaram incluem informações pessoais e financeiras detalhadas que os phishers poderiam usar.

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes