L’attaque a été découverte par des chercheurs en sécurité de Zscaler. Selon eux, cette campagne serait potentiellement liée à un « initial access broker », c’est-à-dire un groupe qui collecte des accès à des réseaux d’entreprise pour les revendre ensuite à des groupes de ransomware. Dans ce cas précis, certains indices suggéreraient un lien avec le groupe de ransomware Payouts Kings.
L’attaque ne commence pas par un lien de téléchargement suspect dans un e-mail, mais par un message envoyé via Microsoft Teams. Les pirates se font passer pour des techniciens informatiques et indiquent aux employés qu’ils doivent installer une mise à jour pour un filtre anti-spam. Quiconque clique sur le lien est redirigé vers une fausse page Microsoft qui ressemble à un panneau de configuration pour les mises à jour d’Outlook.
Une fausse mise à jour installe le navigateur Edge en secret
Sur ce faux site web, les victimes voient s’afficher différents boutons leur permettant de télécharger un pack de mise à jour ou de vérifier un logiciel. En réalité, ces options mènent à des scripts malveillants. Certains téléchargements placent des commandes dans le presse-papiers, d’autres tentent d’exécuter un script via AutoHotKey, des fichiers batch ou PowerShell.
Les scripts téléchargent ensuite un fichier ZIP depuis le faux site web. Cette archive est délibérément conçue de telle sorte que les logiciels de sécurité ne la reconnaissent pas toujours immédiatement comme un fichier ZIP valide. Une fois décompressée, elle contient notamment une installation Python intégrée, un dossier portant l’extension Edge et un deuxième dossier contenant des éléments qui s’exécutent directement sur le système.
L’extension se fait passer pour un Edge Monitoring Agent et s’exécute dans une fenêtre Edge masquée. L’utilisateur ne s’en rend donc pratiquement pas compte. À partir de ce navigateur, l’extension se connecte à un serveur appartenant aux pirates, récupère des instructions et leur renvoie les résultats.
En règle générale, une extension de navigateur se limite au navigateur lui-même. Edgecution utilise toutefois le « Native Messaging », une technique destinée à permettre aux extensions de navigateur de communiquer avec des programmes locaux. Les gestionnaires de mots de passe utilisent par exemple cette fonctionnalité pour transférer des identifiants depuis une application de bureau vers un formulaire web.
Une porte dérobée Python exécute des commandes sur l’ordinateur
Grâce à Native Messaging, l’extension malveillante peut contrôler un programme Python local. Cette porte dérobée sert de relais entre le navigateur et Windows et peut exécuter des commandes en dehors de l’environnement du navigateur. Selon Zscaler, ce logiciel malveillant est notamment capable d’exécuter des commandes PowerShell et shell, de lancer du code Python, d’écrire des fichiers, de consulter les processus en cours d’exécution et de collecter des informations système. Les attaquants se retrouvent ainsi solidement implantés sur un PC infecté.
Pour permettre cette communication, les scripts installent un fichier batch et un fichier manifeste spécifique sur l’ordinateur. Ce manifeste indique à Edge quel programme local est autorisé à lancer l’extension. Ainsi, une extension de navigateur se transforme en fait en une porte d’accès à l’ensemble du système. Les chercheurs ont également identifié dans le logiciel malveillant des fonctionnalités qui ne sont pas encore utilisées activement. Cela pourrait indiquer que ses auteurs ont l’intention d’y ajouter ultérieurement des capacités supplémentaires. Cette attaque est particulièrement préoccupante car elle exploite des fonctionnalités légitimes de Windows et du navigateur, ce qui la rend moins détectable que les logiciels malveillants classiques.
Zscaler recommande aux organisations de contrôler plus strictement l’utilisation des extensions de navigateur et de surveiller davantage les configurations de Native Messaging. Pour les utilisateurs, la règle de base reste la même : n’installez pas de mises à jour ni d’extensions via des liens figurant dans des messages Teams, même s’ils semblent provenir d’un collègue connu. En cas de doute, vérifiez toujours via un deuxième canal si le message provient bien du service informatique.
