O extensie malițioasă din Edge folosește abuziv funcția Native Messaging
Sursă: https://www.bleepingcomputer.com
O extensie rău intenționată pentru Microsoft Edge, denumită Edgecution, a fost utilizată într-un atac de tip ransomware pentru a evada din mediul izolat al browserului și a instala un backdoor bazat pe Python.
Accesul la sistemul local se obține prin exploatarea protocolului Chrome Native Messaging, care permite extensiilor browserului să interacționeze cu aplicațiile native de pe desktop, cum ar fi un manager de parole care comunică cu extensia pentru a completa formularele web.
Acest lucru permite browserului să lanseze aplicația nativă ca proces separat și să comunice cu aceasta prin fluxuri standard de date de intrare/ieșire.
Specialiștii în securitate consideră că Edgecution este pus în aplicare de un broker de acces inițial (IAB) legat de operațiunea de ransomware Payouts Kings.
În cadrul unor atacuri recente care au folosit tactici asociate anterior cu IAB, atacatorul a redirecționat utilizatorii către o consolă de gestionare a actualizărilor Outlook falsă a Microsoft, care afișa butoane de descărcare pentru pachete de actualizări sau pentru verificarea software-ului.
Cu toate acestea, butoanele respective descărcau componente malițioase, copiau scripturi în clipboard sau lansau formulare prin care se solicitau parolele pentru Microsoft 365 și Outlook.
Componentele malware sunt descărcate de pe site-ul fals de actualizări Microsoft într-o arhivă ZIP descărcată cu antete incorecte, pentru a împiedica produsele de securitate să o recunoască ca arhivă validă.
Potrivit specialiștilor, fișierul ZIP conține o versiune încorporată de Python 3.13.3 și două directoare denumite extension și native, oferind un indiciu cu privire la tehnica utilizată în atac.
Prima componentă a malware-ului este extensia malițioasă pentru Microsoft Edge, ascunsă sub forma unui Edge Monitoring Agent. Aceasta se conectează la endpoint-ul de comandă și control (C2) al atacatorului, primește instrucțiuni de executare și trimite rezultatele înapoi operatorului.
Malware-ul Edgecution rulează într-un browser Edge fără interfață grafică, ceea ce îl face invizibil pentru utilizator, și folosește protocolul Native Messaging al Chrome pentru a comunica cu o aplicație locală.
Extensia este limitată la mediul izolat al browserului, însă atacatorul depășește această limitare prin intermediul unei a doua componente malware, un backdoor bazat pe Python care funcționează a executor la nivel de host.
Rolul scripturilor este acela de a oferi extensiei o modalitate de a lansa backdoor-ul Python. Acest lucru se realizează prin crearea, în directorul nativ, a unui fișier batch pe care extensia îl poate apela.
În plus, cele două scripturi creează fișierul manifest necesar pentru sistemul de mesagerie nativ al Chrome, care descrie modul în care browserul se poate conecta la aplicația nativă.
Specialiștii recomandă intensificarea monitorizării extensiilor de browser și aplicarea controalelor stricte asupra configurațiilor native ale host-urilor de mesagerie, pentru a reduce riscul de compromitere.
Sursă: https://www.bleepingcomputer.com/news/security/malicious-edge-extension-abuses-native-messaging-as-bridge-to-malware/
