Extensão maliciosa do Edge facilita ataques de ransomware

Investigadores da Zscaler descobriram uma nova técnica de ataque que utiliza uma extensão maliciosa para o Microsoft Edge, denominada Edgecution, para escapar às limitações de segurança do navegador e instalar um backdoor baseado em Python nos sistemas comprometidos. Segundo a empresa de cibersegurança, a campanha foi utilizada em ataques de ransomware e está associada a um intermediário de acesso inicial (Initial Access Broker, IAB) ligado ao grupo Payouts Kings.

A cadeia de ataque inicia-se com um esquema de engenharia social. Os atacantes fazem-se passar por técnicos de suporte informático através do Microsoft Teams e convencem as vítimas a aceder a uma falsa página de atualização do Microsoft Outlook.

O site apresenta alegadas atualizações de segurança ou ferramentas de verificação de software. No entanto, os botões disponíveis descarregam componentes maliciosos, copiam comandos para a área de transferência ou executam scripts em AutoHotKey, PowerShell ou Batch destinados a instalar o malware.

Os scripts preparam o ambiente, corrigem os cabeçalhos de um ficheiro ZIP encriptado para evitar a sua deteção por soluções de segurança, extraem os ficheiros maliciosos e criam uma tarefa agendada que executa o Microsoft Edge.

O elemento central do ataque é o recurso ao protocolo Chrome Native Messaging, suportado também pelo Microsoft Edge. Este mecanismo permite que extensões do navegador comuniquem com aplicações instaladas no sistema operativo, sendo normalmente utilizado por aplicações legítimas, como gestores de palavras-passe. No caso do Edgecution, os atacantes exploram esta funcionalidade para ultrapassar o isolamento imposto pela sandbox do navegador. O arquivo descarregado contém uma versão embebida do Python 3.13.3 e dois diretórios, extension e native, que implementam o mecanismo de comunicação entre a extensão maliciosa e o sistema operativo.

A extensão, disfarçada de Edge Monitoring Agent, estabelece ligação ao servidor de comando e controlo (C2), recebe instruções dos atacantes e devolve os resultados das operações executadas. O navegador Edge é executado em modo invisível (headless), impedindo que o utilizador detete a atividade maliciosa. Como a extensão continua limitada pelo ambiente de segurança do navegador, o protocolo Native Messaging é utilizado para comunicar com um segundo componente: um backdoor desenvolvido em Python que executa comandos diretamente no sistema operativo.

Segundo a Zscaler, o malware permite aos atacantes executar comandos de sistema e PowerShell; correr código Python arbitrário; criar e modificar ficheiros; listar processos em execução; recolher informação sobre o sistema comprometido. Os scripts criam ainda o manifesto necessário para registar a aplicação nativa junto do navegador, permitindo que a extensão comunique automaticamente com o backdoor.

A análise técnica revela que ambos os componentes incluem funcionalidades atualmente não utilizadas, sugerindo que futuras versões poderão incorporar capacidades adicionais. A Zscaler considera que o Edgecution demonstra a crescente sofisticação das operações associadas ao ransomware, recorrendo a funcionalidades legítimas dos navegadores para estabelecer persistência e contornar mecanismos de segurança tradicionais.

Como medidas de mitigação, a empresa recomenda às organizações reforçar a monitorização das extensões instaladas nos navegadores, limitar a utilização do protocolo Native Messaging sempre que possível e controlar rigorosamente os hosts autorizados a utilizar este mecanismo de comunicação. A Zscaler publicou ainda indicadores de compromisso (IoC), incluindo hashes da extensão maliciosa, do backdoor em Python e os servidores de comando e controlo utilizados na campanha.