خانه » افزونه مخرب Edgecution با سوءاستفاده از Native Messaging به پل ارتباطی بدافزار تبدیل شد

افزونه مخرب Edgecution با سوءاستفاده از Native Messaging به پل ارتباطی بدافزار تبدیل شد

توسط Vulnerbyte_News
19 بازدید

افزونه مخرب Edgecution در جریان یک حمله باج‌افزاری برای عبور از محدودیت‌های سندباکس (Sandbox) مرورگر مایکروسافت اج (Microsoft Edge) و استقرار یک بکدور مبتنی بر پایتون به‌کار گرفته شده است. بررسی‌های Zscaler نشان می‌دهد افزونه مخرب Edgecution با سوءاستفاده از پروتکل Native Messaging کروم، مرورگر را به یک اپلیکیشن بومی (Native Application) روی سیستم قربانی متصل کرده و مسیر اجرای دستورات در سطح میزبان را فراهم می‌کند.

آغاز زنجیره آلودگی

بر اساس گزارش منتشرشده، زنجیره آلودگی در کمپین افزونه مخرب Edgecution با جعل هویت تیم پشتیبانی فناوری اطلاعات (IT Support) در مایکروسافت تیمز (Microsoft Teams) آغاز می‌شود. در این سناریو، مهاجم کارکنان سازمانی را به یک صفحه جعلی هدایت کرده و آن‌ها را متقاعد می‌کند که برای نصب یک به‌روزرسانی مربوط به فیلترینگ اسپم (spam filter update) اقدام کنند.

محققان شرکت امنیت ابری Zscaler بر این باورند که این عملیات به یک واسطه دسترسی اولیه (IAB) مرتبط است؛ عاملی که مسئول فراهم‌کردن دسترسی اولیه برای مهاجمان بوده و با کمپین باج‌افزاری Payouts Kings در ارتباط است.

در حملات اخیر، مهاجمان از صفحات جعلی با عنوان Microsoft Outlook Updates Management Console استفاده می‌کردند؛ صفحاتی که دکمه‌هایی برای دانلود بسته‌های به‌روزرسانی یا انجام تأیید نرم‌افزار در اختیار کاربران قرار می‌دادند.

اما در عمل، این دکمه‌ها برای اهداف مخرب طراحی شده بودند و برای دانلود کامپوننت‌های آلوده، کپی‌کردن اسکریپت‌ها در کلیپ‌بورد و اجرای فرم‌هایی برای سرقت اطلاعات ورود به حساب‌های Microsoft 365 و Outlook مورد استفاده قرار می‌گرفتند.

سایت جعلی مایکروسافت

نقش افزونه مخرب Edgecution در استقرار پیلود

به گفته Zscaler، این دکمه‌ها سه مسیر اجرایی مختلف را در اختیار عامل تهدید قرار می‌دهند:

  • استفاده از اسکریپت AutoHotKey
  • بچ اسکریپت (batch script) ویندوز
  • اسکریپت پاورشل (PowerShell) برای استقرار بدافزار Edgecution

در ادامه، زمانی که اسکریپت AutoHotKey یا محتوای کپی‌شده در کلیپ‌بورد اجرا می‌شود، مجموعه‌ای از دستورات به‌صورت زنجیره‌ای اجرا می‌گردد. این دستورات ابتدا محیط را پیکربندی می‌کنند، سپس هدرهای دستکاری‌شده فایل ZIP رمزگذاری‌شده را اصلاح کرده، فایل‌های موردنیاز را استخراج می‌کنند و در نهایت یک تسک زمان‌بندی‌شده (scheduled task) ایجاد کرده که مرورگر مایکروسافت اج را اجرا می‌کند.

کامپوننت‌های بدافزاری از همان وب‌سایت جعلی مایکروسافت و در قالب یک آرشیو ZIP دریافت می‌شوند. این آرشیو عمداً با هدرهای نامعتبر ساخته شده است تا ابزارهای امنیتی نتوانند آن را به‌عنوان یک فایل فشرده معتبر شناسایی کنند.

استقرار بکدور پایتون و ارتباط با سرور فرماندهی و کنترل

بر اساس بررسی‌های محققان، فایل ZIP شامل یک نسخه تعبیه‌شده پایتون 3.13.3 و دو دایرکتوری با نام‌های extension و native است؛ ساختاری که نشانه‌های مهمی از معماری و تکنیک به‌کاررفته در این حمله ارائه می‌دهد.

اولین کامپوننت بدافزار، یک افزونه مخرب مایکروسافت اج است که به‌عنوان یک عامل (Agent) مانیتورینگ جعل هویت شده است. افزونه مخرب Edgecution به سرور فرماندهی و کنترل (C2) مهاجم متصل می‌شود، دستورات را دریافت می‌کند و نتایج اجرای آن‌ها را به اپراتور بازمی‌گرداند.

این بدافزار در یک مرورگر اج بدون رابط کاربری اجرا می‌شود و به همین دلیل برای کاربر کاملاً پنهان باقی می‌ماند. همچنین برای برقراری ارتباط با یک اپلیکیشن لوکال از پروتکل Native Messaging کروم استفاده می‌کند.

چرا افزونه مخرب Edgecution از سندباکس مرورگر عبور می‌کند؟

در حالت عادی، افزونه‌های مرورگر در چارچوب محدودیت‌های سندباکس اجرا می‌شوند و امکان دسترسی مستقیم به سطح سیستم را ندارند. با این حال، در افزونه مخرب Edgecution مهاجم این محدودیت را با استفاده از یک کامپوننت بدافزاری دیگر دور می‌زند؛ این کامپوننت یک بکدور مبتنی بر پایتون است که به‌عنوان اجراکننده دستورات در سطح میزبان (host-level) عمل می‌کند. این بکدور با دریافت دستوراتی که از طریق افزونه مخرب ارسال می‌شوند، قادر است مجموعه‌ای از عملیات حساس را روی سیستم قربانی اجرا کند؛ از جمله:

  • اجرای دستورات شل (shell commands)
  • اجرای دستورات پاورشل
  • اجرای کد دلخواه پایتون
  • ایجاد یا نوشتن فایل روی سیستم میزبان
  • فهرست‌برداری از پردازه‌های در حال اجرا
  • جمع‌آوری اطلاعات سیستم

در این معماری، نقش اسکریپت‌ها فراهم‌کردن سازوکاری برای اجرای بکدور پایتون از طریق افزونه است. این هدف با ایجاد یک فایل بچ در دایرکتوری native محقق می‌شود؛ فایلی که افزونه می‌تواند آن را فراخوانی و اجرا کند.

علاوه بر این، مهاجمان یک فایل manifest مربوط به Native Messaging کروم ایجاد می‌کنند که نحوه ارتباط مرورگر با اپلیکیشن بومی را تعریف می‌کند.

ریسک پایداری در سیستم‌های آلوده

بررسی فنی Zscaler نشان می‌دهد که هر دو کامپوننت بدافزار دارای دستورات بلااستفاده هستند که احتمال فعال‌سازی آن‌ها در نسخه‌های آینده وجود دارد.

محققان هشدار می‌دهند که تکنیک به‌کاررفته در Edgecution نشان‌دهنده «افزایش پیچیدگی در حال تکامل» در میان عاملان تهدید مرتبط با عملیات باج‌افزاری است و می‌تواند زمینه ایجاد پایداری (persistence) در سیستم‌های آلوده را فراهم کند.

جمع‌بندی

پژوهشگران به سازمان‌ها توصیه کرده‌اند که نظارت بر افزونه‌های مرورگر را تقویت کرده و کنترل‌های سخت‌گیرانه‌تری بر پیکربندی‌های Native Messaging Host اعمال کنند تا احتمال آلودگی کاهش یابد.

این حمله نشان می‌دهد که افزونه‌های مرورگر دیگر صرفاً یک ریسک جانبی محسوب نمی‌شوند، بلکه می‌توانند به یک کانال عملیاتی برای انتقال دستورات از محیط مرورگر به سطح سیستم‌عامل تبدیل شوند. در این میان، افزونه مخرب Edgecution نمونه‌ای روشن از همین سوءاستفاده پیشرفته از اکوسیستم مرورگرها محسوب می‌شود.

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید