Злонамерна Edge екстензија го злоупотребува Native Messaging како мост до малициозен софтвер

Злонамерна екстензија за Microsoft Edge, наречена Edgecution, била искористена во ransomware напад за да избега од безбедносниот „sandbox“ на прелистувачот и да инсталира задна врата (backdoor) базирана на Python.

Пристапот до локалниот систем се добива преку злоупотреба на протоколот Chrome Native Messaging, кој им овозможува на екстензиите во прелистувачот да комуницираат со локални десктоп-апликации. На пример, менаџер за лозинки може да комуницира со екстензија во прелистувачот за автоматско пополнување на веб-формулари.

Овој механизам му овозможува на прелистувачот да стартува локална апликација како посебен процес и да комуницира со неа преку стандардните влезно/излезни (stdin/stdout) канали за податоци.

Како започнува компромитацијата

Нападот со Edgecution започнува така што напаѓачот се претставува како член на ИТ-поддршката преку Microsoft Teams и ги насочува вработените кон лажна веб-страница под изговор дека треба да инсталираат ажурирање за филтер против спам.

Истражувачите од компанијата за облачна безбедност Zscaler сметаат дека Edgecution се користи од брокер за почетен пристап (Initial Access Broker – IAB) поврзан со ransomware операцијата Payouts Kings.

Лажна Microsoft страница

Во неодамнешните напади, кои користеле техники претходно поврзани со истиот IAB, жртвите биле пренасочувани кон лажна Microsoft „Outlook Updates Management Console“ страница.

На страницата биле прикажани копчиња за:

• Преземање на пакети за ажурирање.
• Верификација на софтвер.

Но наместо легитимни ажурирања, копчињата:

• Преземале злонамерни компоненти.
• Копирале малициозни скрипти во clipboard.
• Отворале форми за внесување на лозинки за Microsoft 365 и Outlook.

Зошто е опасен овој напад?

Најзагрижувачкиот аспект е што Native Messaging овозможува комуникација помеѓу екстензијата и локалниот оперативен систем. Со тоа напаѓачите можат да го заобиколат ограничениот пристап што вообичаено го имаат екстензиите во прелистувачот и да извршуваат активности директно на компјутерот на жртвата.

Ова им овозможува:

• Инсталација на задни врати (backdoors).
• Кражба на лозинки и чувствителни податоци.
• Добивање долгорочен пристап до системот.
• Подготовка на теренот за ransomware напад.
• Странично движење низ корпоративната мрежа.

Препораки за заштита

Организациите и корисниците треба:

• Да не инсталираат екстензии или ажурирања добиени преку линкови испратени во пораки.
• Да ја проверат автентичноста на сите барања што доаѓаат од наводна ИТ-поддршка.
• Да користат мултифакторска автентикација (MFA) за Microsoft 365 сметки.
• Да ги ограничат Native Messaging интеграциите само на доверливи апликации.
• Да следат сомнителни активности во Microsoft Teams и Edge екстензиите.
• Да обезбедат обука за препознавање на социјален инженеринг и фишинг напади.

„Овие копчиња му нудат на напаѓачот три различни начини (преку AutoHotKey скрипта, Windows batch скрипта и PowerShell скрипта) за распоредување на малициозниот софтвер Edgecution“, објаснуваат истражувачите од Zscaler.

„Кога ќе се изврши AutoHotKey скриптата или содржината копирана во clipboard, командите ја конфигурираат околината, ги коригираат заглавјата на шифрираната ZIP-датотека, ги извлекуваат потребните датотеки и креираат закажана задача (scheduled task) што го стартува Microsoft Edge.“

Малициозните компоненти се преземаат од лажната Microsoft страница за ажурирања во форма на ZIP архива со намерно оштетени заглавја, со цел безбедносните производи да не ја препознаат како валидна архива.

Според истражувачите, ZIP-датотеката содржи вградена верзија на Python 3.13.3 и две папки наречени extension и native, што дава јасен показател за техниката што се користи во нападот.

Како функционира Edgecution

Првата малициозна компонента е злонамерна екстензија за Microsoft Edge, маскирана како Edge Monitoring Agent.

Таа:

• Се поврзува со серверот за команда и контрола (C2) на напаѓачот.
• Прима инструкции за извршување.
• Ги испраќа резултатите назад до операторот.

Edgecution работи во headless (невидлива) инстанца на Microsoft Edge, што значи дека корисникот не гледа активен прозорец на прелистувачот.

Дополнително, екстензијата го користи протоколот Chrome Native Messaging за комуникација со локална апликација на системот.

Python задната врата го заобиколува sandbox-от

Иако екстензијата е ограничена од безбедносниот sandbox на прелистувачот, напаѓачите го надминуваат тоа ограничување преку втората малициозна компонента – Python-базирана задна врата (backdoor) која функционира како извршувач на ниво на оперативен систем.

Оваа компонента прима команди препратени од злонамерната екстензија и може да:

• Извршува shell команди.
• Стартува PowerShell команди.
• Извршува произволен Python код.
• Креира и запишува датотеки на системот.
• Ги набројува активните процеси.
• Собира информации за системот.

Улогата на скриптите

Скриптите служат како механизам преку кој екстензијата може да ја стартува Python задната врата.

За таа цел:

• Во папката native се креира batch-датотека што може да биде повикана од екстензијата.
• Се создава и потребниот Chrome Native Messaging manifest, кој му кажува на прелистувачот како да комуницира со локалната апликација.

Потенцијал за идни надградби

Техничката анализа на Zscaler покажува дека и двете малициозни компоненти содржат неактивни команди кои моментално не се користат, но би можеле да бидат активирани во идни верзии на малициозниот софтвер.

Ова укажува дека Edgecution е платформа што може дополнително да се развива и да добива нови функции.

Предупредување од истражувачите

Истражувачите нагласуваат дека методот што го користи Edgecution:

„Ја илустрира растечката софистицираност на актерите за закани поврзани со ransomware операции.“

Со комбинирање на злонамерна екстензија и локална Python задната врата, напаѓачите можат:

• Да воспостават долгорочна упорност (persistence) на компромитираните системи.
• Да го заобиколат sandbox-от на прелистувачот.
• Да добијат пристап на ниво на оперативен систем.
• Да подготват терен за ransomware или други понатамошни напади.

Препораки за организациите

Zscaler препорачува организациите:

• Да го засилат мониторингот на инсталираните екстензии во прелистувачите.
• Да воспостават строги контроли врз Native Messaging Host конфигурациите.
• Да ограничат инсталација на екстензии само од доверливи извори.
• Да следат сомнителни PowerShell, Python и batch активности.
• Да спроведуваат редовни проверки на закажаните задачи (Scheduled Tasks).

Во извештајот на Zscaler е вклучена и листа на индикатори за компромитација (IoCs), која содржи:

• Command-and-Control (C2) сервери користени од Edgecution.
• Хаш-вредности на злонамерната Edge екстензија.
• Хаш-вредности на Python задната врата.

Овие индикатори можат да им помогнат на безбедносните тимови побрзо да откријат дали нивната околина е компромитирана од Edgecution.

Извори:

• Bleeping Computer – Malicious Edge extension abuses Native Messaging as bridge to malware Bleeping Computer