El grupo KongTuke ha comenzado la distribución masiva de la extensión maliciosa NexShield para Chrome y Edge. Esto fue informado por los investigadores de ciberseguridad de Huntress.
Según los especialistas, el malware se disfraza de un bloqueador de anuncios ultraligero. La extensión intencionalmente sobrecarga la memoria y el procesador, causando que las pestañas se congelen y el navegador se bloquee por completo, lo que obliga al usuario a buscar una forma de restaurar el sistema.
Después de un reinicio forzado, NexShield muestra una ventana de seguridad falsa que sugiere escanear el sistema.
Bajo la apariencia de una solución al problema, el software ofrece copiar el comando al portapapeles y ejecutarlo en la línea de comandos de Windows. En realidad, este paso inicia un script que carga en el sistema un nuevo troyano de acceso remoto: ModeloRAT.
Según los expertos, el principal ataque está dirigido al sector corporativo. El virus tiene un retraso de 60 minutos para evitar sospechas y se activa principalmente en redes de dominios de organizaciones. Una vez dentro, ModeloRAT permite a los atacantes realizar una profunda exploración, modificar el registro del sistema, instalar software de terceros y gestionar de forma encubierta la computadora de la víctima.
Investigadores de Huntress señalaron que simplemente eliminar la extensión del navegador no resolverá el problema, ya que el troyano está profundamente arraigado en el sistema.
A los propietarios de PC se les recomendó realizar un análisis completo con un antivirus y nunca ejecutar comandos propuestos por sitios web o extensiones.
