- Zscaler expuso “Edgecution”, una extensión maliciosa de Edge implementada a través de un sitio falso de actualización de Outlook compartido en Team Phishing
- El ataque utiliza archivos zip con el tiempo de ejecución de Python para evitar la zona de pruebas del navegador, creando una puerta trasera capaz de robar datos del sistema y de ejecución de shell/powershell.
- Se cree que el grupo de ransomware está vinculado a corredores de acceso temprano vinculados a Payout Kings, lo que muestra una sofisticación en evolución en las operaciones de acceso para la venta.
Tenga cuidado si utiliza el navegador Edge: se está ejecutando una campaña maliciosa que utiliza el navegador para instalar una puerta trasera a través de una extensión.
Según el investigador de seguridad Zscaler, los estafadores llegan a sus víctimas a través de Microsoft Teams, haciéndose pasar por soporte de TI. Afirman que el usuario necesita instalar una actualización de Outlook o un filtro de spam y dirigir a las víctimas a un sitio web falso de “Outlook Update Management Console”.
Allí, se indica a los usuarios que ejecuten uno de los tres procesos determinados, todos los cuales descargan un archivo ZIP que, cuando se ejecuta, crea una tarea programada. Esta tarea inicia el navegador Edge en modo sin cabeza (invisible para el usuario) e instala oficialmente una extensión llamada “Edge Monitoring Agent”. Por otro lado, Zscaler lo llama “Edgecution”.
Crear un manifiesto de mensajería nativo
El archivo ZIP también contiene un tiempo de ejecución de Python integrado y una puerta trasera basada en Python. El tiempo de ejecución crea un manifiesto de mensajería nativo: un archivo que le indica al navegador cómo comunicarse con la puerta trasera. Por lo tanto, los actores de amenazas pudieron escapar del entorno limitado del navegador y ejecutar la puerta trasera en la computadora comprometida.
Esa puerta trasera puede hacer varias cosas, desde ejecutar comandos de shell hasta ejecutar PowerShell y código Python arbitrario. Puede escribir archivos en el host, contar procesos en ejecución y recopilar información del sistema.
Zscaler cree que es un intermediario de acceso inicial (IAB), un grupo malicioso cuyo único trabajo es obtener acceso a la infraestructura de una víctima y luego venderla o compartirla con un grupo asociado. Los investigadores creen que este IAB en particular está vinculado a una operación de ransomware llamada PayoutKings.
“La extensión del navegador Edgecution ilustra la creciente sofisticación de los agentes de acceso temprano que operan en el panorama del ransomware”, advierte Zscaler. “La dependencia de una extensión de navegador maliciosa para transmitir comandos a hosts nativos basados en Python demuestra un enfoque creativo para eludir la detección de puntos finales tradicional”.
Puede encontrar una lista completa de indicadores de acuerdo (IoC) en este enlace.
a través de Computadora pitando
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
