Uma campanha de malware nova e enganosa foi descoberta, uma que transforma uma extensão de navegador cotidiana em uma ferramenta perigosa para comprometimento de sistema. Pesquisadores de segurança identificaram uma ameaça que usa uma extensão maliciosa do Microsoft Edge para romper as fronteiras de segurança incorporadas do navegador, dando aos atacantes acesso direto ao computador da vítima.
descoberta e escopo
A campanha foi vinculada a um corretor de acesso inicial com ligações ao grupo de ransomware Payouts King, levantando sérias preocupações sobre o quão longe os ataques baseados em navegador evoluíram nos últimos anos. O que torna esta campanha distinta é como os atacantes entram. As vítimas são contatadas através de mensagens do Microsoft Teams, onde alguém fingindo ser equipe de TI diz que precisam de uma atualização de filtro de spam.
A vítima é então direcionada para um site Microsoft falso oferecendo botões de download rotulados como pacotes de atualização do Outlook, todos projetados para implantar silenciosamente malware na máquina alvo sem levantar alarmes imediatos. Analistas do Zscaler ThreatLabz têm acompanhado de perto esta campanha e nomearam o malware de Edgecution.
vetor e exploração
De acordo com o relatório do Zscaler, o malware foi construído em torno de um design de duas partes que trabalha junto para dar ao atacante controle total sobre o sistema da vítima. Nenhuma parte sozinha levantaria muitas bandeiras, mas juntas formam um backdoor capaz e difícil de detectar. O site de atualização falso oferece às vítimas três maneiras de desencadear a infecção, incluindo um script AutoHotKey, um script de lote do Windows e um script PowerShell.
Qualquer rota que seja tomada, o resultado é o mesmo: um navegador Microsoft Edge oculto é iniciado em segundo plano, carregando silenciosamente a extensão maliciosa sem aviso ao usuário. A máquina infectada agora está sob o controle do atacante enquanto a vítima não vê nada incomum na tela.
análise técnica detalhada
O protocolo de mensageria nativa do Chrome foi projetado para permitir que extensões de navegador conversem com aplicativos confiáveis já no dispositivo do usuário. O Edgecution abusa deste recurso para passar comandos da extensão diretamente para um backdoor baseado em Python executando no host, permitindo que o atacante se mova fora da sandbox do navegador inteiramente.
Aquele sandbox normalmente está lá para impedir que qualquer extensão toque no sistema operacional mais amplo. Os scripts de configuração criam um manifesto de mensageria nativa que registra um aplicativo falso chamado "Edge Monitoring Agent", dizendo ao navegador que pode enviar mensagens ao script Python na máquina da vítima.
impacto e alcance
A extensão usa a chamada de API do Chrome chrome.runtime.sendNativeMessage para retransmitir comandos do servidor C2 do atacante diretamente para aquele backdoor. A partir daí, o backdoor realiza trabalho malicioso muito além do que qualquer extensão de navegador padrão deveria ser capaz de fazer. O backdoor Python suporta comandos incluindo execução de shell, escrita de arquivos, execução de PowerShell, listagem de processos e execução de código Python personalizado enviado pelo atacante.
Ele lê cada comando em formato JSON, processa-o, envia uma resposta e desliga até o próximo comando chegar. Este padrão de curta duração ajuda a evitar ferramentas de segurança que procuram processos suspeitos persistentes. Para esconder seus rastros, o malware armazena uma chave de decodificação no registro do Windows, sem a qual as strings do backdoor permanecem embaralhadas.
medidas de mitigação recomendadas
O Zscaler recomenda que as organizações monitorem instalações de extensões de navegador cuidadosamente e imponham controles estritos em configurações de host de mensageria nativa. O treinamento de usuários é igualmente crítico para ajudar os funcionários a reconhecer mensagens suspeitas que impersonam equipe de TI interna.
Uma postura de defesa em camadas permanece a proteção mais confiável contra campanhas como Edgecution que combinam engenharia social com métodos de entrega tecnicamente avançados. Organizações devem monitorar extensões de navegador e controlar configurações de mensageria nativa.
perguntas frequentes
Como detectar o Edgecution? Monitore extensões de navegador e conexões de saída incomuns. É seguro usar extensões? Sim, mas verifique fontes e permissões. Qual o risco? Acesso total ao sistema e execução de código.