Добавить в корзинуПозвонить
Найти в Дзене
TrashExpert.ru: главный эксперт по гаджетам, технологиям и лайфхакам
468 подписчиков

Edgecution атакует Edge: расширение выводит бэкдор из песочницы

3 мин
Edgecution — новая вредоносная кампания против пользователей Microsoft Edge, которую раскрыли исследователи Zscaler. Атака начинается с фишинга в Microsoft Teams, а заканчивается бэкдором с доступом к shell, PowerShell и системным данным. Схема выглядит неприятно именно из-за привычного корпоративного контекста. Жертве пишут в Teams от имени ИТ-поддержки. Затем убеждают установить обновление Outlook или спам-фильтр. Ссылка ведёт на поддельный сайт под названием Outlook Updates Management Console. На сайте пользователю предлагают запустить один из трёх процессов. Все они скачивают ZIP-архив. После запуска архив создаёт запланированную задачу в Windows и тихо стартует Edge в headless-режиме. Пользователь не видит окно браузера. ❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО Вредоносное расширение маскируется под Edge Monitoring Agent, но Zscaler называет его Edgecution. Его задача — стать мостом между браузером и кодом, который уже работает на компьютере жертвы. Клю
Оглавление

Edgecution — новая вредоносная кампания против пользователей Microsoft Edge, которую раскрыли исследователи Zscaler. Атака начинается с фишинга в Microsoft Teams, а заканчивается бэкдором с доступом к shell, PowerShell и системным данным.

Схема выглядит неприятно именно из-за привычного корпоративного контекста. Жертве пишут в Teams от имени ИТ-поддержки. Затем убеждают установить обновление Outlook или спам-фильтр. Ссылка ведёт на поддельный сайт под названием Outlook Updates Management Console.

На сайте пользователю предлагают запустить один из трёх процессов. Все они скачивают ZIP-архив. После запуска архив создаёт запланированную задачу в Windows и тихо стартует Edge в headless-режиме. Пользователь не видит окно браузера.

❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО

Edge Monitoring Agent ставит расширение без обычного сценария

Вредоносное расширение маскируется под Edge Monitoring Agent, но Zscaler называет его Edgecution. Его задача — стать мостом между браузером и кодом, который уже работает на компьютере жертвы.

Ключевой трюк спрятали не в самом расширении. ZIP-архив приносит с собой встроенный Python runtime и бэкдор на Python. Runtime создаёт Native Messaging manifest — файл, через который браузер понимает, с каким локальным приложением он может общаться.

В нормальной жизни Native Messaging нужен легитимным расширениям. Например, для связи браузера с установленной программой. Здесь тот же механизм использовали для обхода браузерной песочницы. Команды уходят из расширения в нативный Python-хост на заражённой машине.

Именно поэтому атака опаснее обычного вредного расширения. Браузерная песочница должна держать код в ограниченной среде. Edgecution строит канал наружу и отдаёт команды бэкдору.

Бэкдор получает доступ к PowerShell и этим системы

После закрепления на машине бэкдор может выполнять команды shell, запускать PowerShell и произвольный Python-код. Для атакующих это уже не просто сбор данных из браузера, а рабочий вход в систему.

  • Команды shell: запуск системных команд на заражённом компьютере
  • PowerShell: выполнение скриптов и команд Windows
  • Python-код: запуск произвольной логики через встроенный runtime
  • Файлы: запись данных на диск жертвы
  • Процессы: просмотр запущенных программ
  • Система: сбор технической информации о компьютере

Для домашнего пользователя это уже серьёзная проблема. Для компании — почти готовая точка входа. Особенно если жертва работает под учётной записью с широкими правами или имеет доступ к внутренним сервисам.

Zscaler связывает кампанию с Initial Access Broker. Так называют группы, которые не всегда сами шифруют инфраструктуру. Они получают доступ, закрепляются внутри сети и продают этот доступ другим операторам.

Исследователи считают, что этот брокер связан с ransomware-группой Payout Kings. Это не делает каждую заражённую машину гарантированной жертвой шифрования. Но логика кампании хорошо ложится на рынок доступа для вымогателей.

❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО

Почему атака цепляется за Teams и Outlook

Teams и Outlook выглядят для сотрудников как обычная рабочая среда. Поэтому фраза про обновление Outlook или новый спам-фильтр не звучит как странная просьба из ниоткуда.

Атака давит не на уязвимость в одном клике, а на доверие к рабочим инструментам. Пользователь сам запускает процесс с поддельной страницы. Потом Windows получает запланированную задачу, а Edge стартует без видимого окна.

Такие кампании хуже ловятся простыми правилами вида «не открывайте странные вложения». Здесь приманка выглядит как служебная операция. А техническая часть прячется за легитимными механизмами браузера и Windows.

В отчёте Zscaler формулировка жёсткая: «Расширение Edgecution показывает растущую сложность брокеров начального доступа в экосистеме ransomware». Исследователи отдельно выделяют связку вредного расширения и Python-based native host как способ обходить традиционные средства защиты на конечных устройствах.

Технические индикаторы компрометации Zscaler вынесла в отдельный отчёт по Edgecution. Разбор атаки также опубликовал BleepingComputer, где описан тот же механизм Native Messaging и связка с Payout Kings.

Подписывайтесь на наши каналы в Telegram и Дзен, чтобы узнавать больше. И делитесь своим мнением и опытом в нашем чате.

Edgecution атакует Edge: расширение выводит бэкдор из песочницы ⚡️