Een nieuwe aanvalsmethode toont hoe een ogenschijnlijk onschuldige extensie voor Microsoft Edge kan worden misbruikt om malware op een Windows-pc te installeren. De kwaadaardige extensie, die door onderzoekers de naam Edgecution kreeg, gebruikt een ingebouwde browserfunctie om uit de afgeschermde browseromgeving te breken.
De aanval werd ontdekt door beveiligingsonderzoekers van Zscaler. Volgens hen is de campagne mogelijk gelinkt aan een initial access broker, een groep die toegang tot bedrijfsnetwerken verzamelt en vervolgens doorverkoopt aan ransomwarebendes. In dit geval zouden er aanwijzingen zijn voor een verband met de Payouts Kings-ransomwaregroep.
De aanval begint niet met een verdachte downloadlink in een e-mail, maar met een bericht via Microsoft Teams. Aanvallers doen zich daarbij voor als IT-medewerkers en vertellen werknemers dat ze een update voor een spamfilter moeten installeren. Wie op de link klikt, komt terecht op een nagemaakte Microsoft-pagina die eruitziet als een beheerpaneel voor Outlook-updates.
Op die valse website krijgen slachtoffers verschillende knoppen te zien om een updatepakket te downloaden of software te verifiëren. In werkelijkheid leiden die opties naar kwaadaardige scripts. Sommige downloads plaatsen commando’s op het klembord, andere proberen een script uit te voeren via AutoHotKey, batchbestanden of PowerShell.
De scripts halen vervolgens een ZIP-bestand binnen van de nepwebsite. Dat archief is bewust zo opgebouwd dat beveiligingssoftware het niet altijd meteen als geldig ZIP-bestand herkent. Eenmaal uitgepakt bevat het onder meer een ingebouwde Python-installatie, een map met de Edge-extensie en een tweede map met onderdelen die op het systeem zelf worden uitgevoerd.
De extensie doet zich voor als een Edge Monitoring Agent en draait in een verborgen Edge-venster. De gebruiker merkt daar dus weinig van. Vanuit die browser maakt de extensie verbinding met een server van de aanvallers, haalt ze opdrachten op en stuurt ze resultaten terug.
Normaal gezien blijft een browserextensie beperkt tot de browser zelf. Edgecution gebruikt echter Native Messaging, een techniek die bedoeld is om browserextensies te laten communiceren met lokale programma’s. Wachtwoordbeheerders gebruiken die functie bijvoorbeeld om inloggegevens vanuit een desktopapp in een webformulier te plaatsen.
Via Native Messaging kan de kwaadaardige extensie een lokaal Python-programma aansturen. Die backdoor fungeert als schakel tussen de browser en Windows en kan opdrachten uitvoeren buiten de browseromgeving. Volgens Zscaler kan de malware onder meer PowerShell- en shellcommando’s uitvoeren, Python-code starten, bestanden wegschrijven, draaiende processen bekijken en systeeminformatie verzamelen. Daarmee krijgen aanvallers een stevige voet tussen de deur op een besmette pc.
Om die communicatie mogelijk te maken, zetten de scripts een batchbestand en een speciaal manifestbestand op de computer. Dat manifest vertelt Edge welk lokaal programma de extensie mag starten. Zo verandert een browserextensie in feite in een ingang naar het volledige systeem. De onderzoekers zagen ook functies in de malware die nog niet actief worden gebruikt. Dat kan erop wijzen dat de makers later extra mogelijkheden willen toevoegen. De aanval is vooral zorgwekkend omdat ze legitieme Windows- en browserfuncties misbruikt, waardoor ze minder snel opvalt dan klassieke malware.
Zscaler raadt organisaties aan om het gebruik van browserextensies strenger te controleren en extra toezicht te houden op Native Messaging-configuraties. Voor gebruikers blijft de basisregel dezelfde: installeer geen updates of extensies via links in Teams-berichten, zelfs niet wanneer ze van een bekende collega lijken te komen. Controleer bij twijfel altijd via een tweede kanaal of de melding echt van de IT-afdeling afkomstig is.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
