Die Malware Edgecution verwendet eine bösartige Microsoft-Edge-Erweiterung, um die Browser-Sandbox zu verlassen und eine Python-basierte Hintertür zu installieren. Sicherheitsforscher erklären, dass die Kampagne Social Engineering mit dem Native Messaging-Protokoll von Chrome kombiniert, um direkten Zugriff auf Windows-Systeme zu erhalten. Dadurch können Cyberkriminelle die Sicherheitsmechanismen des Browsers umgehen und sich dauerhaft auf kompromittierten Systemen festsetzen. Der Fall zeigt außerdem, wie ransomware-nahe Bedrohungsakteure ihre Angriffstechniken kontinuierlich weiterentwickeln.

Gefälschte Microsoft-Aktualisierung lockt Opfer an

Forscher von Zscaler entdeckten die Kampagne bei der Untersuchung von Aktivitäten eines Initial-Access-Brokers, der mutmaßlich die Ransomware-Gruppe Payouts Kings unterstützt.

Der Angriff beginnt damit, dass sich Cyberkriminelle über Microsoft Teams als IT-Support ausgeben. Sie fordern Mitarbeiter auf, eine gefälschte Microsoft-Webseite zu besuchen, die angeblich einen Spamfilter oder ein Outlook-Update bereitstellt.

Die betrügerische Webseite bietet verschiedene Download-Optionen an, darunter AutoHotKey-, Windows-Batch- und PowerShell-Skripte. Jede dieser Optionen bereitet das Gerät des Opfers auf die Installation der Malware vor.

Einige Schaltflächen kopieren schädliche Befehle direkt in die Zwischenablage. Andere laden zusätzliche Dateien herunter oder fordern die Eingabe von Microsoft-365- und Outlook-Anmeldedaten.

Edge-Erweiterung umgeht den Browserschutz

Das heruntergeladene Archiv enthält eine integrierte Python-3.13.3-Umgebung sowie zwei Verzeichnisse mit den Namen extension und native. Diese Komponenten bilden die Grundlage des Angriffs.

Die erste Komponente ist eine bösartige Microsoft-Edge-Erweiterung, die sich als Edge Monitoring Agent ausgibt. Sie verbindet sich mit einem Command-and-Control-Server, empfängt Befehle, führt browserbasierte Aufgaben aus und sendet die Ergebnisse an die Angreifer zurück.

Normalerweise bleiben Browser-Erweiterungen innerhalb der Browser-Sandbox. Dadurch wird ihr Zugriff auf das Betriebssystem stark eingeschränkt.

Edgecution umgeht diese Schutzmaßnahme, indem die Malware das Native Messaging-Protokoll von Chrome missbraucht.

Native Messaging ist eine legitime Browserfunktion. Sie ermöglicht Erweiterungen die Kommunikation mit vertrauenswürdigen Desktop-Anwendungen, etwa Passwort-Managern. In dieser Kampagne nutzen die Angreifer die Funktion jedoch, um ihre eigene Schadsoftware außerhalb des Browsers zu starten.

Python-Hintertür verschafft vollständige Kontrolle

Die zweite Komponente ist eine Python-basierte Hintertür, die direkt auf dem Host-System ausgeführt wird.

Die schädliche Erweiterung leitet Befehle über den Native-Messaging-Kanal weiter. Die Python-Hintertür empfängt diese Anweisungen und führt sie außerhalb der Browser-Umgebung aus.

Die Forscher stellten fest, dass die Malware folgende Funktionen besitzt:

  • Shell-Befehle ausführen
  • PowerShell-Befehle ausführen
  • Beliebigen Python-Code ausführen
  • Dateien auf dem kompromittierten System schreiben
  • Laufende Prozesse auflisten
  • Systeminformationen sammeln

Zusätzliche Skripte erstellen die Batch-Datei, welche die Hintertür startet. Außerdem erzeugen sie das Native-Messaging-Manifest, das die Kommunikation zwischen Microsoft Edge und der lokalen Anwendung ermöglicht.

Zusammen verwandeln diese Komponenten eine Browser-Erweiterung in eine Brücke, die den Angreifern Zugriff auf Systemebene verschafft.

Angreifer entwickeln ihre Methoden weiter

Zscaler entdeckte mehrere ungenutzte Funktionen innerhalb der Malware. Diese könnten in zukünftigen Versionen der Kampagne aktiviert werden.

Nach Einschätzung der Forscher zeigt die Operation, wie stark sich ransomware-nahe Initial-Access-Broker weiterentwickelt haben. Die Gruppen entwickeln ständig neue Methoden, um sich dauerhaft in Netzwerken festzusetzen, bevor Ransomware zum Einsatz kommt.

Die Angreifer führen die Erweiterung außerdem in einer Headless-Version von Microsoft Edge aus. Dadurch bleibt die schädliche Aktivität für das Opfer leichter verborgen.

Unternehmen sollten die Browsersicherheit stärken

Die Kampagne zeigt, wie legitime Browserfunktionen zu wirkungsvollen Angriffswerkzeugen werden können, wenn sie missbraucht werden.

Zscaler empfiehlt Unternehmen daher, Browser-Erweiterungen genauer zu überwachen und den Einsatz von Native Messaging nach Möglichkeit einzuschränken.

Außerdem sollten Unternehmen die Konfiguration ihrer Native-Messaging-Hosts überprüfen und unerwartete Änderungen untersuchen.

Sicherheitsteams sollten ihre Systeme zusätzlich mit den veröffentlichten Indicators of Compromise (IoCs) abgleichen. Dazu gehören unter anderem die Command-and-Control-Infrastruktur, Hash-Werte der schädlichen Erweiterung sowie Spuren der Python-Hintertür.

Eine frühzeitige Erkennung kann verhindern, dass Angreifer einen dauerhaften Zugriff etablieren.

Fazit

Edgecution zeigt, wie Cyberkriminelle legitime Windows-Funktionen mit ausgefeiltem Social Engineering kombinieren, um Unternehmen anzugreifen.

Durch den Missbrauch des Native-Messaging-Protokolls von Chrome umgehen die Angreifer die üblichen Sicherheitsmechanismen des Browsers und verschaffen sich über eine Python-basierte Hintertür dauerhaften Zugriff auf kompromittierte Systeme.

Unternehmen, die ihre Browsersicherheit stärken, installierte Erweiterungen überwachen und Native Messaging einschränken, sind deutlich besser darauf vorbereitet, ähnliche Angriffe frühzeitig zu erkennen und zu stoppen, bevor sie in Ransomware-Vorfälle münden.


0 Kommentare zu „Edgecution-Malware nutzt Edge-Erweiterung zur Installation einer Hintertür“