Edgecution er en ny malware, der bruger en ondsindet Microsoft Edge-udvidelse til at slippe ud af browserens sandkasse og installere en Python-baseret bagdør. Forskere oplyser, at kampagnen kombinerer social engineering med Chromes Native Messaging-protokol for at få direkte adgang til Windows-systemer. Angrebet gør det muligt for cyberkriminelle at omgå browserens sikkerhedsmekanismer og etablere vedvarende adgang. Samtidig viser det, hvordan ransomware-relaterede trusselsaktører fortsætter med at forfine deres angrebsmetoder.
Falsk Microsoft-opdatering lokker ofre
Forskere hos Zscaler opdagede kampagnen under en undersøgelse af aktivitet med tilknytning til en initial access broker, som menes at samarbejde med ransomwaregruppen Payouts Kings.
Angrebet begynder med, at cyberkriminelle udgiver sig for at være IT-support via Microsoft Teams. De beder medarbejdere besøge en falsk Microsoft-hjemmeside, som hævder at tilbyde et spamfilter eller en opdatering til Outlook.
Den falske hjemmeside tilbyder flere downloadmuligheder, herunder AutoHotKey-, Windows Batch- og PowerShell-scripts. Alle muligheder forbereder offerets enhed til installation af malware.
Nogle knapper kopierer automatisk ondsindede kommandoer til udklipsholderen. Andre downloader yderligere filer eller beder brugeren indtaste sine loginoplysninger til Microsoft 365 og Outlook.
Edge-udvidelse omgår browserens sikkerhed
Det downloadede arkiv indeholder et indlejret Python 3.13.3-miljø samt to mapper med navnene extension og native. Disse komponenter udgør grundlaget for angrebet.
Den første komponent er en ondsindet Microsoft Edge-udvidelse, der udgiver sig for at være en Edge Monitoring Agent. Udvidelsen opretter forbindelse til en ekstern kommando- og kontrolserver, modtager instruktioner, udfører opgaver i browseren og sender resultaterne tilbage til angriberne.
Normalt er browserudvidelser begrænset til browserens sandkasse, hvilket begrænser deres adgang til operativsystemet.
Edgecution omgår denne beskyttelse ved at misbruge Chromes Native Messaging-protokol.
Native Messaging er en legitim browserfunktion, som gør det muligt for udvidelser at kommunikere med betroede desktopprogrammer, eksempelvis password managers. I denne kampagne bruger angriberne funktionen til at starte deres eget ondsindede program uden for browseren.
Python-bagdør giver fuld kontrol
Den anden komponent er en Python-baseret bagdør, som kører direkte på værtssystemet.
Den ondsindede udvidelse sender kommandoer gennem Native Messaging-kanalen. Python-bagdøren modtager instruktionerne og udfører dem uden for browserens beskyttede miljø.
Forskerne fandt, at malwaren kan:
- Udføre shell-kommandoer
- Køre PowerShell-kommandoer
- Afvikle vilkårlig Python-kode
- Skrive filer til den kompromitterede enhed
- Kortlægge aktive processer
- Indsamle systemoplysninger
Supplerende scripts opretter batchfilen, som starter bagdøren. De genererer også det Native Messaging-manifest, der gør kommunikationen mellem Microsoft Edge og den lokale applikation mulig.
Tilsammen forvandler disse komponenter en browserudvidelse til en bro, der giver angriberne adgang på systemniveau.
Angriberne udvikler deres metoder
Zscaler fandt flere ubrugte funktioner i malwaren. Disse kan blive aktiveret i fremtidige versioner af kampagnen.
Forskerne vurderer, at operationen viser, hvor avancerede ransomware-relaterede initial access brokers er blevet. Grupperne udvikler løbende nye metoder til at opnå vedvarende adgang, før ransomware bliver installeret.
Angriberne kører desuden udvidelsen i en headless-version af Microsoft Edge. Denne metode gør det vanskeligere for offeret at opdage den ondsindede aktivitet.
Organisationer bør styrke browsersikkerheden
Kampagnen viser, hvordan legitime browserfunktioner kan blive kraftfulde angrebsværktøjer, når de misbruges.
Zscaler anbefaler derfor, at organisationer overvåger browserudvidelser tættere og begrænser brugen af Native Messaging, hvor det er muligt.
Organisationer bør også gennemgå konfigurationen af Native Messaging-værter og undersøge uventede ændringer.
Sikkerhedsteams bør desuden sammenholde deres miljøer med de offentliggjorte indikatorer på kompromittering. Disse omfatter blandt andet kommando- og kontrolinfrastruktur, hashværdier for den ondsindede udvidelse og spor efter Python-bagdøren.
Tidlig opdagelse kan forhindre angriberne i at etablere vedvarende adgang.
Konklusion
Edgecution viser, hvordan cyberkriminelle fortsætter med at kombinere legitime Windows-funktioner med avanceret social engineering for at kompromittere organisationer.
Ved at misbruge Chromes Native Messaging-protokol omgår angriberne browserens normale sikkerhedsbeskyttelse og etablerer vedvarende adgang gennem en Python-baseret bagdør.
Organisationer, der styrker browsersikkerheden, overvåger installerede udvidelser og begrænser Native Messaging, vil være langt bedre rustet til at opdage lignende angreb, før de udvikler sig til ransomware-hændelser.


0 svar til “Edgecution-malware bruger Edge-udvidelse til at installere bagdør”