Une extension malveillante pour Microsoft Edge, nommée ‘Edgecution’, a été employée lors d’une attaque par rançongiciel. Son objectif était de s’échapper du sandbox du navigateur pour installer un logiciel esprit écrit en Python.
L’accès au système local est obtenu via le protocole Chrome Native Messaging. Ce mécanisme autorise les extensions de navigateur à dialoguer avec des applications installées sur le poste de travail, par exemple lorsqu’un gestionnaire de mots de passe communique avec une extension pour remplir automatiquement un formulaire web.
Ainsi, le navigateur peut lancer l’application native comme un processus distinct et échanger des données avec elle via les flux d’entrée et de sortie standards.
Une compromission par Edgecution débute par un attaquant qui se fait passer pour un membre du service informatique sur Microsoft Teams. Il dirige ensuite des employés vers une page frauduleuse en leur demandant d’installer une mise à jour prétendue d’un filtre anti-spam.
Les chercheurs de la société de sécurité Zscaler estiment qu’Edgecution est déployée par un intermédiaire d’accès initial. Cet intermédiaire est lié à l’opération de rançongiciel Payouts Kings.
Lors de récentes attaques utilisant des méthodes déjà associées à cet intermédiaire, l’attaquant a redirigé les victimes vers un faux « Console de gestion des mises à jour Outlook ». Ce site affichait des boutons pour télécharger des packs de mise à jour ou pour vérifier un logiciel.
Mais ces boutons téléchargeaient des composants malveillants, copiaient des scripts dans le presse-papiers, ou lançaient des formulaires qui demandaient les mots de passe Microsoft 365 et Outlook.
Source : Zscaler
Zscaler explique : « Ces boutons donnent trois options différentes à l’attaquant pour déployer le malware Edgecution. Ces options passent par un script AutoHotKey, un script batch Windows et un script PowerShell. »
Lorsque le script AutoHotKey ou le contenu du presse-papiers est exécuté, les commandes vont configurer l’environnement, corriger les en-têtes du fichier ZIP chiffré, extraire les fichiers pertinents et créer une tâche planifiée qui exécute Microsoft Edge.
Les composants du malware sont récupérés depuis le faux site de mise à jour Microsoft dans une archive ZIP. Cette archive possède des en-têtes malformés pour empêcher les produits de sécurité de la reconnaître comme une archive valide.
Selon les chercheurs, le fichier ZIP contient une version embarquée de Python 3.13.3 et deux répertoires nommés extension et native. Ces noms donnent un indice sur la technique employée dans l’attaque.
Le premier composant malveillant est l’extension Microsoft Edge déguisée en « Agent de surveillance Edge ». Elle se connecte au serveur de commande et de contrôle de l’attaquant, reçoit des instructions à exécuter, puis renvoie les résultats à l’opérateur.
Le malware Edgecution s’exécute dans une instance Edge sans interface graphique, ce qui le rend invisible pour l’utilisateur, et il utilise le protocole Native Messaging de Chrome pour communiquer avec une application locale.
L’extension est confinée au sandbox du navigateur, mais l’attaquant contourne cette limite avec un second composant malveillant. Il s’agit d’un logiciel esprit basé sur Python qui agit comme un exécuteur au niveau du système hôte.
Ce composant reçoit les commandes qui sont relayées depuis l’extension malveillante, et il peut potentiellement demander les actions suivantes :
- Exécuter des commandes système
- Lancer PowerShell
- Exécuter du code Python arbitraire
- Écrire des fichiers sur la machine
- Lister les processus en cours d’exécution
- Collecter des informations sur le système
Le rôle des scripts est de fournir un moyen pour l’extension de lancer le logiciel esprit Python. Pour cela, ils créent dans le répertoire native un fichier batch que l’extension peut invoquer.
De plus, ils créent le manifeste Chrome native messaging requis, qui décrit comment le navigateur peut se connecter à l’application native.
L’analyse technique de Zscaler note que les deux composants du malware contiennent des commandes inutilisées qui pourraient être activées dans de futures versions.
Les chercheurs avertissent que la méthode employée par Edgecution montre que les acteurs de menace liés aux rançongiciels perfectionnent leurs techniques. Elle leur permet d’établir une persistance sur les machines compromises.
Ils recommandent aux organisations de renforcer la surveillance des extensions de navigateur et d’imposer des contrôles stricts sur les configurations des hôtes de messagerie native pour réduire le risque de compromission.
Le rapport de Zscaler fournit une liste d’indicateurs de compromission. Cette liste inclut les serveurs de commande et de contrôle utilisés par Edgecution, ainsi que les empreintes de l’extension malveillante et du logiciel esprit Python.