Edgecution är en ny skadlig kod som använder ett falskt tillägg för Microsoft Edge för att ta sig ut ur webbläsarens sandlåda och installera en Python-baserad bakdörr. Enligt forskare kombinerar kampanjen social manipulation med Chromes Native Messaging-protokoll för att få direkt åtkomst till Windows-system. Angreppet gör det möjligt för cyberkriminella att kringgå webbläsarens säkerhetsbegränsningar och etablera långvarig åtkomst. Det visar också hur ransomwarekopplade hotaktörer fortsätter att utveckla sina angreppsmetoder.

Falsk Microsoft-uppdatering lurar användare

Forskare på Zscaler upptäckte kampanjen när de undersökte aktivitet kopplad till en initial access broker som misstänks samarbeta med ransomwaregruppen Payouts Kings.

Angreppet börjar med att cyberkriminella utger sig för att vara IT-support via Microsoft Teams. De uppmanar anställda att besöka en falsk Microsoft-webbplats som påstår sig erbjuda ett spamfilter eller en uppdatering för Outlook.

Den falska webbplatsen erbjuder flera nedladdningsalternativ, bland annat AutoHotKey-, Windows Batch- och PowerShell-skript. Samtliga alternativ förbereder offrets dator för installation av skadlig kod.

Vissa knappar kopierar automatiskt skadliga kommandon till användarens urklipp. Andra laddar ned ytterligare filer eller uppmanar användaren att ange sina inloggningsuppgifter till Microsoft 365 och Outlook.

Edge-tillägg kringgår webbläsarens skydd

Det nedladdade arkivet innehåller en inbäddad Python 3.13.3-miljö samt två kataloger med namnen extension och native. Dessa komponenter utgör grunden för angreppet.

Den första komponenten är ett skadligt Microsoft Edge-tillägg som utger sig för att vara en Edge Monitoring Agent. Tillägget ansluter till en fjärrstyrd kommando- och kontrollserver, tar emot instruktioner, utför uppgifter i webbläsaren och skickar resultaten tillbaka till angriparna.

Normalt är webbläsartillägg begränsade till webbläsarens sandlåda, vilket kraftigt begränsar deras åtkomst till operativsystemet.

Edgecution kringgår detta skydd genom att missbruka Chromes Native Messaging-protokoll.

Native Messaging är en legitim funktion som gör det möjligt för webbläsartillägg att kommunicera med betrodda skrivbordsprogram, exempelvis lösenordshanterare. I den här kampanjen använder angriparna funktionen för att starta sin egen skadliga applikation utanför webbläsaren.

Python-bakdörr ger full kontroll

Den andra komponenten är en Python-baserad bakdörr som körs direkt på värddatorn.

Det skadliga tillägget skickar kommandon via Native Messaging-kanalen. Python-bakdörren tar emot instruktionerna och kör dem utanför webbläsarens skyddade miljö.

Forskarna konstaterade att skadeprogrammet kan:

  • Köra shell-kommandon
  • Köra PowerShell-kommandon
  • Exekvera godtycklig Python-kod
  • Skriva filer till den komprometterade datorn
  • Inventera aktiva processer
  • Samla in systeminformation

Kompletterande skript skapar batchfilen som startar bakdörren. De genererar också det Native Messaging-manifest som krävs för kommunikationen mellan Microsoft Edge och den lokala applikationen.

Tillsammans gör dessa komponenter att ett webbläsartillägg fungerar som en brygga som ger angriparna åtkomst på systemnivå.

Angriparna utvecklar sina metoder

Zscaler hittade flera oanvända funktioner i skadeprogrammet. Dessa kan dyka upp i framtida versioner av kampanjen.

Forskarna bedömer att operationen visar hur initial access brokers med koppling till ransomware blir allt mer avancerade. Grupperna fortsätter att utveckla nya metoder för att etablera långvarig åtkomst innan ransomware distribueras.

Angriparna kör dessutom tillägget i en huvudlös version av Microsoft Edge. Den metoden gör det svårare för offret att upptäcka den skadliga aktiviteten.

Organisationer bör stärka webbläsarsäkerheten

Kampanjen visar hur legitima funktioner i webbläsare kan förvandlas till kraftfulla angreppsverktyg när de missbrukas.

Zscaler rekommenderar därför att organisationer övervakar installerade webbläsartillägg noggrannare och begränsar användningen av Native Messaging där det är möjligt.

Organisationer bör också granska konfigurationen av Native Messaging-värdar och undersöka oväntade förändringar.

Säkerhetsteam rekommenderas dessutom att jämföra sina miljöer med de publicerade indikatorerna på intrång. Dessa omfattar bland annat kommando- och kontrollservrar, hashvärden för det skadliga tillägget och spår från Python-bakdörren.

Tidiga upptäckter kan stoppa angripare innan de etablerar långvarig åtkomst.

Slutsats

Edgecution visar hur cyberkriminella fortsätter att kombinera legitima Windows-funktioner med avancerad social manipulation för att kompromettera organisationer.

Genom att missbruka Chromes Native Messaging-protokoll kan angriparna kringgå webbläsarens säkerhet och etablera permanent åtkomst via en Python-bakdörr.

Organisationer som stärker webbläsarsäkerheten, övervakar installerade tillägg och begränsar Native Messaging har betydligt bättre möjligheter att upptäcka liknande angrepp innan de utvecklas till ransomwareincidenter.


0 svar till ”Edgecution-skadlig kod använder Edge-tillägg för att installera bakdörr”