Eater
Zscaler ThreatLabz meldt dat een initial-access-broker, gelinkt aan de Payouts King-ransomware, de malwareframework Edgecution inzet. Deze combineert een kwaadaardige Microsoft Edge-extensie met een Python-backdoor. De aanval begint meestal met social-engineeringberichten in Microsoft Teams, waarin aanvallers zich voordoen als IT-medewerkers. Slachtoffers worden vervolgens doorgestuurd naar een neppe Microsoft Outlook- of Microsoft-updatepagina. Daar worden installatiescripts, een legitieme AutoHotKey-uitvoerbare bestand en een versleuteld ZIP-bestand aangeboden.
De scripts maken daarna een verborgen Edge-profiel aan, installeren de extensie en Python-componenten, configureren een Chrome-native messaging host, slaan een decoderingssleutel op in het Windows-register en laten Edge automatisch, zonder vensters, op de achtergrond draaien met de kwaadaardige extensie actief.
Edgecution misbruikt Chrome-native messaging om normale sandboxbeperkingen van de browser te omzeilen en bevoorrechte opdrachten door te geven van de extensie naar de Python-backdoor. Volgens onderzoekers communiceert de extensie met de command-and-control-infrastructuur via WebSockets. Daarbij zijn subdomeinen van cloudfront.net waargenomen die worden gehost op AWS. De browserbewakingsfuncties lijken vooral bedoeld als afleiding, omdat Edge in headless-modus draait.
De backdoor geeft aanvallers toegang tot systeemverkenning, het opsommen van processen, het schrijven van bestanden, het uitvoeren van shell- en PowerShell-opdrachten, Python-code en bredere willekeurige commando’s. Zo krijgen ransomware-verwante criminelen op een stille manier voet aan de grond, mogelijk zonder dat traditionele endpoint- en sandboxbeveiliging dit direct opmerkt.
