Skip to content

Edge-laiend ümber oma sirvija liivakasti Pythoni tagauks

Põhipunktis: Pahatahtlik Edge-laiend kasutab ära Native Messaging protokolli sirvija liivakasti ümber minekuks ja täieliku kaugühenduse tagauksega operatsioonisüsteemi tasandil.

Zscaleri turvalisuse uurijad dokumenteerisid pahavara kampaania, mis kasutab manipuleeritud Microsoft Edge’i laiendit nimega Edgecution Pythoni-põhise tagauksega nakatanud süsteemidele paigaldamiseks ja toimib seega sisselaskmispunktina arvutiviiruste rünnakute jaoks.

Rünnak algab sotsiaalse manipulatsiooni kaudu Microsoft Teams’is, kus ründajad pretendeerivad IT-toe töötajatele ja suunavad töötajad võltsitud haldustõllele Outlooki värskenduste jaoks. Kolme pakutava nupu kaudu saavad kasutajad käivitada AutoHotKey-, Batch- või PowerShelli skripte, mis laadivad alla manipuleeritud ZIP-arhiivi. Arhiiv sisaldab manustatud Pythoni versiooni 3.13.3, Edge-laiendit ja muid komponente ning on kaitsitud manipuleeritud päise allkirjastega standardse turvalisuse tarkvara eest.

Tehniline eripära peitub sirvija liivakasti ümber minekus: pahatahtlik laiend on esialgu isoleeritud, kuid kasutab Chrome’i Native Messaging protokolli – mida ette nähtud sirvija lisandmoodulite ja kohalike rakenduste nagu paroolihaldurite vahelise suhtlemise jaoks – Pythoni-põhise tagauksega operatsioonisüsteemi tasandil käivitamiseks ja juhtimiseks. Kohalikult käivitatud skriptid loovad automaatselt vajalikud Manifest-failid, nii et sirvija aktsepteerib ühendust kohalike rakendustega.

Selle tagauksega saavad ründajad käivitada shell-käske ja PowerShelli skripte, laadida suvalisi Pythoni koode, kirjutada faile, loetleda aktiivseid protsesse ja koguda süsteemi teavet. Zscaleri analüüsi kohaselt opereerib infrastruktuuri algkäigu vahendaja, kellel on ühendused arvutiviiruste rühmaga Payouts Kings. Mudel eesmärk on saada püsiv juurdepääs ettevõtte võrgusse, et ette valmistada järgnevad krüpteerimisrünnakud.

Zscaler soovitab CISodel kehtestada sirvija laienditele rangemat järelevalvet ja reguleerida Native Messaging konfiguratsioone lõppseadmetes, et sulgeda need exploiteerimise vektorid.


Allikas: www.it-daily.net · Avaldatud 25. juunil 2026
Lumi AI News — tehisintellekti abil kurateeritud kooskõlas EU AI akti art. 50. Parafraas ja klassifikatsioon Lumi News Pipeline v1.7.1 abil.

Share on: