Auf den Punkt: Eine böswillige Edge-Erweiterung exploitiert das Native-Messaging-Protokoll, um die Browser-Sandbox zu umgehen und eine vollständige Fernzugriff-Hintertür auf Betriebssystemebene zu etablieren.
Sicherheitsforscher von Zscaler haben eine Malware-Kampagne dokumentiert, die eine manipulierte Microsoft-Edge-Erweiterung namens Edgecution nutzt, um eine Python-basierte Hintertür auf infizierten Systemen zu installieren und so als Eingangspunkt für Ransomware-Angriffe zu dienen.
Die Angriffskette beginnt mit Social Engineering über Microsoft Teams, wo sich die Angreifer als IT-Support-Mitarbeiter ausgeben und Mitarbeiter auf eine gefälschte Verwaltungskonsole für Outlook-Updates leiten. Über drei angebotene Schaltflächen können Benutzer AutoHotKey-, Batch- oder PowerShell-Skripte ausführen, die ein manipuliertes ZIP-Archiv herunterladen. Das Archiv enthält eine eingebettete Python-Version 3.13.3, die Edge-Erweiterung sowie weitere Komponenten und wird durch manipulierte Header-Signaturen vor Standard-Sicherheitssoftware verschleiert.
Die technische Besonderheit liegt in der Umgehung der Browser-Sandbox: Die böswillige Erweiterung ist zunächst isoliert, nutzt aber das Native-Messaging-Protokoll von Chrome – eigentlich für die Kommunikation zwischen Browser-Add-ons und lokalen Anwendungen wie Passwortmanagern vorgesehen – um eine Python-basierte Hintertür auf Betriebssystemebene zu starten und zu steuern. Die lokal laufenden Skripte erstellen automatisch die notwendigen Manifest-Dateien, damit der Browser die Verbindung zur nativen Anwendung akzeptiert.
Über diese Hintertür können Angreifer Shell-Befehle und PowerShell-Skripte ausführen, beliebigen Python-Code laden, Dateien schreiben, aktive Prozesse aufzählen und Systeminformationen sammeln. Nach Zscaler-Analyse wird die Infrastruktur von einem Initial Access Broker betrieben, der Verbindungen zur Ransomware-Gruppe Payouts Kings aufweist. Das Modell zielt darauf ab, dauerhaften Zugriff auf Unternehmensnetzwerke zu erlangen, um nachfolgende Verschlüsselungsangriffe vorzubereiten.
Zscaler empfiehlt CISOs, Browser-Erweiterungen strengerer Überwachung zu unterwerfen und die Konfigurationen für Native Messaging auf Endgeräten zu reglementieren, um diese Exploitationsvektoren zu schließen.
Quelle: www.it-daily.net · Erschienen 25. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.