Специалисты по кибербезопасности из компании Zscaler выявили новую вредоносную кампанию под названием Edgecution. Злоумышленники используют сложные методы социальной инженерии и технические уязвимости для внедрения в систему бэкдора — программы, обеспечивающей скрытый удаленный доступ к компьютеру.
Механизм заражения через Microsoft Teams
Атака начинается в корпоративном мессенджере Microsoft Teams. Мошенники, выдавая себя за сотрудников службы ИТ-поддержки, убеждают пользователей установить критическое обновление Outlook или новый спам-фильтр. Для этого жертву направляют на фишинговый сайт, имитирующий консоль управления обновлениями Microsoft.
При попытке выполнить предложенные на сайте инструкции на компьютер загружается ZIP-архив. После его запуска в операционной системе создается запланированная задача, которая инициирует работу браузера Edge в скрытом режиме (headless mode). В этом состоянии браузер остается невидимым для пользователя, что позволяет злоумышленникам тайно установить расширение под названием Edge Monitoring Agent.
Технические детали и выход из «песочницы»
Вредоносный архив содержит встроенную среду выполнения Python и бэкдор. Ключевой особенностью атаки является использование манифеста Native Messaging — специального файла конфигурации, который определяет правила взаимодействия браузера с установленными в системе приложениями. Именно этот механизм позволяет вредоносному расширению выйти за пределы «песочницы» — изолированной безопасной среды браузера.
После обхода защитных механизмов бэкдор получает возможность выполнять широкий спектр действий непосредственно в операционной системе:
- запуск команд в оболочке Shell и сценариев PowerShell;
- выполнение произвольного кода на языке Python;
- создание и редактирование файлов на диске;
- сбор системной информации и мониторинг запущенных процессов.
Связь с рынком продажи доступа
По данным исследователей, за операцией стоит группа, выполняющая функции брокера начального доступа (Initial Access Broker). Такие организации специализируются на взломе корпоративных сетей с целью последующей продажи доступа другим киберпреступникам. В данном случае эксперты прослеживают связь с группировкой Payout Kings, занимающейся распространением программ-вымогателей.
В отчете Zscaler подчеркивается, что кампания Edgecution свидетельствует о росте профессионализма брокеров доступа. Использование браузерного расширения в качестве посредника для передачи команд локальным Python-скриптам является нестандартным подходом, который позволяет эффективно обходить традиционные системы обнаружения угроз на конечных точках.
