Sebuah kampanye malvertising terdeteksi memanfaatkan ekstensi pemblokir iklan palsu untuk Google Chrome dan Microsoft Edge bernama NexShield. Ekstensi berbahaya ini sengaja membuat browser mengalami crash sebagai bagian dari rangkaian serangan ClickFix, yang dirancang untuk menipu pengguna agar menjalankan perintah berbahaya di sistem Windows mereka.
Serangan ini terpantau sejak awal Januari 2026 dan digunakan untuk mendistribusikan remote access tool (RAT) berbasis Python bernama ModeloRAT, yang terutama menargetkan lingkungan perusahaan. Ekstensi NexShield sendiri telah dihapus dari Chrome Web Store setelah aktivitas berbahaya tersebut terungkap.
NexShield dipromosikan secara menyesatkan sebagai ad blocker ringan, berperforma tinggi, dan mengutamakan privasi. Ekstensi ini bahkan mengklaim dibuat oleh Raymond Hill, pengembang asli uBlock Origin yang memiliki puluhan juta pengguna. Klaim ini sepenuhnya palsu dan dimanfaatkan untuk meningkatkan tingkat kepercayaan korban.
Peneliti dari perusahaan keamanan terkelola Huntress menjelaskan bahwa NexShield menciptakan kondisi denial-of-service (DoS) pada browser dengan membuka koneksi chrome.runtime secara berulang tanpa henti. Teknik ini menghabiskan sumber daya memori, menyebabkan tab membeku, penggunaan CPU meningkat, konsumsi RAM melonjak, hingga akhirnya browser tidak responsif dan crash. Dalam banyak kasus, pengguna terpaksa menutup Chrome atau Edge melalui Windows Task Manager.
Karena mekanisme serangannya memanfaatkan crash browser yang nyata, Huntress menyebut varian ClickFix ini sebagai CrashFix. Setelah browser dijalankan ulang, ekstensi akan menampilkan pop-up palsu berisi peringatan keamanan, seolah-olah sistem mengalami masalah serius dan perlu segera diperbaiki.
Pop-up tersebut kemudian mengarahkan korban ke jendela lain yang menampilkan peringatan keamanan palsu, lengkap dengan instruksi “perbaikan”. Langkah yang disarankan justru meminta pengguna menjalankan perintah tertentu di Command Prompt Windows. Seperti pola ClickFix pada umumnya, ekstensi akan menyalin perintah berbahaya ke clipboard dan meminta korban menekan Ctrl+V lalu menjalankannya.
Perintah “perbaikan” tersebut memicu skrip PowerShell yang telah di-obfuscate melalui koneksi jarak jauh, kemudian mengunduh dan mengeksekusi skrip berbahaya lanjutan. Untuk mengelabui deteksi dan memisahkan aktivitas berbahaya dari instalasi ekstensi, muatan (payload) utama dijalankan dengan jeda hingga 60 menit setelah NexShield terpasang.
Pada sistem yang tergabung dalam domain perusahaan, penyerang mengirimkan ModeloRAT, yang mampu melakukan pengintaian sistem, menjalankan perintah PowerShell, memodifikasi Registry Windows, menambahkan payload lain, serta memperbarui dirinya sendiri. Sebaliknya, pada sistem non-domain—yang umumnya milik pengguna rumahan—server command-and-control hanya mengembalikan pesan uji, menandakan prioritas yang lebih rendah atau kampanye yang masih dikembangkan.
Serangan CrashFix ini dinilai lebih meyakinkan dibandingkan ClickFix lain yang hanya mensimulasikan layar blue screen. Dalam kasus ini, crash yang terjadi benar-benar nyata, sehingga meningkatkan peluang korban mengikuti instruksi berbahaya yang ditampilkan.
Huntress mengaitkan kampanye CrashFix ini dengan aktor ancaman bernama KongTuke, yang telah dipantau sejak awal 2025. Berdasarkan temuan terbaru, kelompok ini dinilai semakin fokus pada jaringan perusahaan yang dinilai lebih menguntungkan bagi pelaku kejahatan siber.
Untuk mencegah serangan ClickFix dan CrashFix, pengguna disarankan hanya memasang ekstensi browser dari penerbit tepercaya serta memahami sepenuhnya dampak dari setiap perintah eksternal yang dijalankan di sistem. Bagi pengguna yang sempat memasang NexShield, penghapusan ekstensi saja tidak cukup. Pembersihan sistem secara menyeluruh perlu dilakukan, karena muatan berbahaya seperti ModeloRAT atau skrip lain dapat tetap bertahan di sistem.