Edgecution er en ny skadevare som bruker en ondsinnet Microsoft Edge-utvidelse for å bryte ut av nettleserens sandkasse og installere en Python-basert bakdør. Forskere sier kampanjen kombinerer sosial manipulering med Chromes Native Messaging-protokoll for å få direkte tilgang til Windows-systemer. Angrepet gjør det mulig for cyberkriminelle å omgå nettleserens sikkerhetsmekanismer og etablere varig tilgang. Det viser også hvordan ransomware-tilknyttede trusselaktører fortsetter å videreutvikle angrepsmetodene sine.

Falsk Microsoft-oppdatering lokker ofre

Forskere hos Zscaler oppdaget kampanjen under etterforskningen av aktivitet knyttet til en initial access broker som antas å samarbeide med ransomwaregruppen Payouts Kings.

Angrepet starter med at cyberkriminelle utgir seg for å være IT-support via Microsoft Teams. De ber ansatte besøke en falsk Microsoft-nettside som påstår å tilby et spamfilter eller en Outlook-oppdatering.

Den falske nettsiden tilbyr flere nedlastingsalternativer, blant annet AutoHotKey-, Windows Batch- og PowerShell-skript. Alle alternativene forbereder offerets enhet på installasjon av skadevare.

Noen knapper kopierer automatisk ondsinnede kommandoer til utklippstavlen. Andre laster ned flere filer eller ber brukeren oppgi innloggingsinformasjon til Microsoft 365 og Outlook.

Edge-utvidelse omgår nettleserens sikkerhet

Det nedlastede arkivet inneholder et innebygd Python 3.13.3-miljø og to mapper kalt extension og native. Disse komponentene danner grunnlaget for angrepet.

Den første komponenten er en ondsinnet Microsoft Edge-utvidelse som utgir seg for å være en Edge Monitoring Agent. Utvidelsen kobler seg til en ekstern kommando- og kontrollserver, mottar instruksjoner, utfører oppgaver i nettleseren og sender resultatene tilbake til angriperne.

Normalt er nettleserutvidelser begrenset til nettleserens sandkasse. Det begrenser tilgangen deres til operativsystemet.

Edgecution omgår denne beskyttelsen ved å misbruke Chromes Native Messaging-protokoll.

Native Messaging er en legitim funksjon som lar nettleserutvidelser kommunisere med pålitelige skrivebordsprogrammer, for eksempel passordbehandlere. I denne kampanjen bruker angriperne funksjonen til å starte sitt eget ondsinnede program utenfor nettleseren.

Python-bakdør gir full kontroll

Den andre komponenten er en Python-basert bakdør som kjører direkte på vertsdatamaskinen.

Den ondsinnede utvidelsen sender kommandoer gjennom Native Messaging-kanalen. Python-bakdøren mottar instruksjonene og utfører dem utenfor nettleserens beskyttede miljø.

Forskerne fant at skadevaren kan:

  • Kjøre shell-kommandoer
  • Kjøre PowerShell-kommandoer
  • Kjøre vilkårlig Python-kode
  • Skrive filer til den kompromitterte enheten
  • Kartlegge kjørende prosesser
  • Samle inn systeminformasjon

Støtteskript oppretter batchfilen som starter bakdøren. De genererer også Native Messaging-manifestet som gjør kommunikasjonen mellom Microsoft Edge og den lokale applikasjonen mulig.

Til sammen gjør disse komponentene en nettleserutvidelse om til en bro som gir angriperne tilgang på systemnivå.

Angriperne videreutvikler metodene sine

Zscaler fant flere ubrukte funksjoner i skadevaren. Disse kan bli tatt i bruk i fremtidige versjoner av kampanjen.

Forskerne mener operasjonen viser hvor sofistikerte ransomware-tilknyttede initial access brokers har blitt. Gruppene utvikler stadig nye metoder for å etablere vedvarende tilgang før ransomware distribueres.

Angriperne kjører også utvidelsen i en hodeløs versjon av Microsoft Edge. Denne metoden gjør det vanskeligere for offeret å oppdage den ondsinnede aktiviteten.

Organisasjoner bør styrke nettlesersikkerheten

Kampanjen viser hvordan legitime nettleserfunksjoner kan bli kraftige angrepsverktøy når de misbrukes.

Zscaler anbefaler derfor at organisasjoner overvåker nettleserutvidelser tettere og begrenser bruken av Native Messaging der det er mulig.

Organisasjoner bør også gjennomgå konfigurasjonen av Native Messaging-verter og undersøke uventede endringer.

Sikkerhetsteam anbefales dessuten å sammenligne egne miljøer med de publiserte indikatorene på kompromittering. Disse omfatter blant annet kommando- og kontrollinfrastruktur, hashverdier for den ondsinnede utvidelsen og spor etter Python-bakdøren.

Tidlig oppdagelse kan hindre angriperne i å etablere varig tilgang.

Konklusjon

Edgecution viser hvordan cyberkriminelle fortsetter å kombinere legitime Windows-funksjoner med avansert sosial manipulering for å kompromittere organisasjoner.

Ved å misbruke Chromes Native Messaging-protokoll omgår angriperne nettleserens sikkerhet og etablerer vedvarende tilgang gjennom en Python-basert bakdør.

Organisasjoner som styrker nettlesersikkerheten, overvåker installerte utvidelser og begrenser Native Messaging, vil være langt bedre rustet til å oppdage lignende angrep før de utvikler seg til ransomware-hendelser.


0 responses to “Edgecution-skadevare bruker Edge-utvidelse til å installere bakdør”