Uma extensão maliciosa do Microsoft Edge, batizada de Edgecution, foi usada em um ataque de ransomware para escapar da sandbox do navegador e implantar um backdoor baseado em Python.
O acesso ao sistema local é obtido por meio do uso do protocolo Chrome Native Messaging, que permite que extensões do navegador interajam com aplicativos nativos da área de trabalho, como um gerenciador de senhas que se comunica com a extensão para preencher formulários na web.
Isso permite que o navegador abra o aplicativo nativo como um processo separado e se comunique com ele por meio de fluxos padrão de entrada e saída de dados.
A infecção por Edgecution começa quando o atacante se passa por funcionários do suporte de TI no Microsoft Teams e direciona os empregados a uma página fraudulenta, sob o pretexto de instalar uma atualização para um filtro antispam.
Pesquisadores da empresa de segurança em nuvem Zscaler acreditam que o Edgecution é implantado por um corretor de acesso inicial, ou IAB, ligado à operação de ransomware Payouts Kings.
Em ataques recentes, usando táticas associadas anteriormente a esse IAB, o threat actor direcionou as vítimas a uma falsa “Console de Gerenciamento de Atualizações do Outlook” da Microsoft, que exibia botões de download para pacotes de atualização ou verificação de software.
No entanto, os botões baixavam componentes maliciosos, copiavam scripts para a área de transferência ou abriam formulários que solicitavam senhas do Microsoft 365 e do Outlook.
“Esses botões oferecem ao threat actor três opções diferentes, por meio de um script AutoHotKey, um script em lote do Windows e um script PowerShell, para implantar o malware Edgecution”, explicou a Zscaler.
“Quando o script AutoHotKey ou o conteúdo da área de transferência é executado, os comandos configuram o ambiente, corrigem os cabeçalhos corrompidos do arquivo ZIP criptografado, extraem os arquivos relevantes e criam uma tarefa agendada que executa o Microsoft Edge.”
Os componentes do malware são obtidos do falso site de atualização da Microsoft em um arquivo ZIP com cabeçalhos malformados, para impedir que produtos de segurança o reconheçam como um arquivo válido.
Segundo os pesquisadores, o ZIP contém uma versão embutida do Python 3.13.3 e dois diretórios chamados extension e native, o que indica a técnica usada no ataque.
O primeiro componente do malware é a extensão maliciosa do Microsoft Edge, disfarçada como um Edge Monitoring Agent.
Ela se conecta ao endpoint de comando e controle, ou C2, do atacante, recebe instruções de execução e envia os resultados de volta ao operador.
O malware Edgecution é executado em um navegador Edge sem interface, o que o torna invisível ao usuário, e usa o protocolo Chrome Native Messaging para se comunicar com um aplicativo local.
A extensão fica limitada à sandbox do navegador, mas o atacante contorna essa restrição com um segundo componente de malware, um backdoor baseado em Python, que atua como executor no nível do host.
Esse componente recebe comandos repassados pela extensão maliciosa e pode, potencialmente, executar as seguintes ações:
Executar comandos de shell
Executar PowerShell
Executar código Python arbitrário
Gravar arquivos no host
Enumerar processos em execução
Coletar informações do sistema
O papel dos scripts é permitir que a extensão acione o backdoor em Python.
Isso é feito pela criação, no diretório nativo, de um arquivo batch que a extensão pode invocar.
Além disso, eles criam o manifesto necessário do Chrome Native Messaging, que descreve como o navegador pode se conectar ao aplicativo nativo.
A análise técnica da Zscaler observa que ambos os componentes do malware têm comandos não utilizados, que podem ser ativados em versões futuras.
Os pesquisadores alertam que o método usado pelo Edgecution “ilustra a sofisticação crescente” dos threat actors ligados a operações de ransomware e permite que eles estabeleçam persistência em hosts comprometidos.
A recomendação é que as organizações reforcem o monitoramento de extensões de navegador e adotem controles rígidos sobre as configurações de hosts de Native Messaging para reduzir o risco de comprometimento.
O relatório da Zscaler traz uma lista de indicadores de comprometimento, ou IoCs, incluindo servidores de comando e controle usados pelo Edgecution, hashes da extensão maliciosa e do backdoor em Python.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...