Pesquisadores de cibersegurança da Huntress divulgaram detalhes de uma campanha sofisticada batizada de Crash Fix, que usa uma extensão maliciosa do Google Chrome para travar deliberadamente o navegador e induzir vítimas a executar comandos que instalam um trojan de acesso remoto chamado Modelo RAT.

A extensão falsa, disponibilizada na Chrome Web Store oficial com o nome "Nex Shield – Advanced Web Guardian", foi baixada pelo menos 5.

O malware se apresentava como um bloqueador de anúncios legítimo, prometendo proteger usuários contra rastreadores e conteúdo intrusivo.

De acordo com a Huntress, a extensão é um clone quase idêntico do u Block Origin Lite versão 2025.

A única diferença está no código malicioso escondido, projetado para exibir avisos de segurança falsos após travar o navegador propositalmente.

A campanha faz parte da infraestrutura Kong Tuke, também rastreada como TAG-124, um sistema de distribuição de tráfego que cria perfis de vítimas antes de redirecioná-las para sites de entrega de malware.

O acesso a sistemas comprometidos é depois vendido para outros criminosos, incluindo grupos de ransomware como Rhysida e Interlock.

A extensão aguarda 60 minutos após a instalação antes de ativar seu comportamento malicioso.

Depois disso, a cada 10 minutos, ela lança um ataque de negação de serviço (Do S) que cria um bilhão de iterações em loop infinito, abrindo novas conexões de porta que esgotam completamente a memória do computador.

Quando o navegador trava e a vítima força o encerramento, um pop-up aparece ao reiniciar o Chrome alegando que o navegador "parou de forma anormal" e solicitando uma "verificação" para corrigir uma possível ameaça à segurança.