افزونه مخرب Edgecution در جریان یک حمله باجافزاری برای عبور از محدودیتهای سندباکس (Sandbox) مرورگر مایکروسافت اج (Microsoft Edge) و استقرار یک بکدور مبتنی بر پایتون بهکار گرفته شده است. بررسیهای Zscaler نشان میدهد افزونه مخرب Edgecution با سوءاستفاده از پروتکل Native Messaging کروم، مرورگر را به یک اپلیکیشن بومی (Native Application) روی سیستم قربانی متصل کرده و مسیر اجرای دستورات در سطح میزبان را فراهم میکند.
آغاز زنجیره آلودگی
بر اساس گزارش منتشرشده، زنجیره آلودگی در کمپین افزونه مخرب Edgecution با جعل هویت تیم پشتیبانی فناوری اطلاعات (IT Support) در مایکروسافت تیمز (Microsoft Teams) آغاز میشود. در این سناریو، مهاجم کارکنان سازمانی را به یک صفحه جعلی هدایت کرده و آنها را متقاعد میکند که برای نصب یک بهروزرسانی مربوط به فیلترینگ اسپم (spam filter update) اقدام کنند.
محققان شرکت امنیت ابری Zscaler بر این باورند که این عملیات به یک واسطه دسترسی اولیه (IAB) مرتبط است؛ عاملی که مسئول فراهمکردن دسترسی اولیه برای مهاجمان بوده و با کمپین باجافزاری Payouts Kings در ارتباط است.
در حملات اخیر، مهاجمان از صفحات جعلی با عنوان Microsoft Outlook Updates Management Console استفاده میکردند؛ صفحاتی که دکمههایی برای دانلود بستههای بهروزرسانی یا انجام تأیید نرمافزار در اختیار کاربران قرار میدادند.
اما در عمل، این دکمهها برای اهداف مخرب طراحی شده بودند و برای دانلود کامپوننتهای آلوده، کپیکردن اسکریپتها در کلیپبورد و اجرای فرمهایی برای سرقت اطلاعات ورود به حسابهای Microsoft 365 و Outlook مورد استفاده قرار میگرفتند.
نقش افزونه مخرب Edgecution در استقرار پیلود
به گفته Zscaler، این دکمهها سه مسیر اجرایی مختلف را در اختیار عامل تهدید قرار میدهند:
- استفاده از اسکریپت AutoHotKey
- بچ اسکریپت (batch script) ویندوز
- اسکریپت پاورشل (PowerShell) برای استقرار بدافزار Edgecution
در ادامه، زمانی که اسکریپت AutoHotKey یا محتوای کپیشده در کلیپبورد اجرا میشود، مجموعهای از دستورات بهصورت زنجیرهای اجرا میگردد. این دستورات ابتدا محیط را پیکربندی میکنند، سپس هدرهای دستکاریشده فایل ZIP رمزگذاریشده را اصلاح کرده، فایلهای موردنیاز را استخراج میکنند و در نهایت یک تسک زمانبندیشده (scheduled task) ایجاد کرده که مرورگر مایکروسافت اج را اجرا میکند.
کامپوننتهای بدافزاری از همان وبسایت جعلی مایکروسافت و در قالب یک آرشیو ZIP دریافت میشوند. این آرشیو عمداً با هدرهای نامعتبر ساخته شده است تا ابزارهای امنیتی نتوانند آن را بهعنوان یک فایل فشرده معتبر شناسایی کنند.
استقرار بکدور پایتون و ارتباط با سرور فرماندهی و کنترل
بر اساس بررسیهای محققان، فایل ZIP شامل یک نسخه تعبیهشده پایتون 3.13.3 و دو دایرکتوری با نامهای extension و native است؛ ساختاری که نشانههای مهمی از معماری و تکنیک بهکاررفته در این حمله ارائه میدهد.
اولین کامپوننت بدافزار، یک افزونه مخرب مایکروسافت اج است که بهعنوان یک عامل (Agent) مانیتورینگ جعل هویت شده است. افزونه مخرب Edgecution به سرور فرماندهی و کنترل (C2) مهاجم متصل میشود، دستورات را دریافت میکند و نتایج اجرای آنها را به اپراتور بازمیگرداند.
این بدافزار در یک مرورگر اج بدون رابط کاربری اجرا میشود و به همین دلیل برای کاربر کاملاً پنهان باقی میماند. همچنین برای برقراری ارتباط با یک اپلیکیشن لوکال از پروتکل Native Messaging کروم استفاده میکند.
چرا افزونه مخرب Edgecution از سندباکس مرورگر عبور میکند؟
در حالت عادی، افزونههای مرورگر در چارچوب محدودیتهای سندباکس اجرا میشوند و امکان دسترسی مستقیم به سطح سیستم را ندارند. با این حال، در افزونه مخرب Edgecution مهاجم این محدودیت را با استفاده از یک کامپوننت بدافزاری دیگر دور میزند؛ این کامپوننت یک بکدور مبتنی بر پایتون است که بهعنوان اجراکننده دستورات در سطح میزبان (host-level) عمل میکند. این بکدور با دریافت دستوراتی که از طریق افزونه مخرب ارسال میشوند، قادر است مجموعهای از عملیات حساس را روی سیستم قربانی اجرا کند؛ از جمله:
- اجرای دستورات شل (shell commands)
- اجرای دستورات پاورشل
- اجرای کد دلخواه پایتون
- ایجاد یا نوشتن فایل روی سیستم میزبان
- فهرستبرداری از پردازههای در حال اجرا
- جمعآوری اطلاعات سیستم
در این معماری، نقش اسکریپتها فراهمکردن سازوکاری برای اجرای بکدور پایتون از طریق افزونه است. این هدف با ایجاد یک فایل بچ در دایرکتوری native محقق میشود؛ فایلی که افزونه میتواند آن را فراخوانی و اجرا کند.
علاوه بر این، مهاجمان یک فایل manifest مربوط به Native Messaging کروم ایجاد میکنند که نحوه ارتباط مرورگر با اپلیکیشن بومی را تعریف میکند.
ریسک پایداری در سیستمهای آلوده
بررسی فنی Zscaler نشان میدهد که هر دو کامپوننت بدافزار دارای دستورات بلااستفاده هستند که احتمال فعالسازی آنها در نسخههای آینده وجود دارد.
محققان هشدار میدهند که تکنیک بهکاررفته در Edgecution نشاندهنده «افزایش پیچیدگی در حال تکامل» در میان عاملان تهدید مرتبط با عملیات باجافزاری است و میتواند زمینه ایجاد پایداری (persistence) در سیستمهای آلوده را فراهم کند.
جمعبندی
پژوهشگران به سازمانها توصیه کردهاند که نظارت بر افزونههای مرورگر را تقویت کرده و کنترلهای سختگیرانهتری بر پیکربندیهای Native Messaging Host اعمال کنند تا احتمال آلودگی کاهش یابد.
این حمله نشان میدهد که افزونههای مرورگر دیگر صرفاً یک ریسک جانبی محسوب نمیشوند، بلکه میتوانند به یک کانال عملیاتی برای انتقال دستورات از محیط مرورگر به سطح سیستمعامل تبدیل شوند. در این میان، افزونه مخرب Edgecution نمونهای روشن از همین سوءاستفاده پیشرفته از اکوسیستم مرورگرها محسوب میشود.