Payouts King: Edgecution обходит защиту Edge и запускает код

Шифровальщик Payouts King использует необычно сложную схему закрепления в инфраструктуре жертв: в атаке задействованы вредоносное расширение для Microsoft Edge под названием Edgecution и бэкдор на базе Python. По данным отчета, эта связка позволяет злоумышленникам выходить за рамки типичных ограничений браузерной песочницы, получать расширенный контроль над хост-системой и выполнять действия, которые обычно недоступны обычным расширениям.

Как устроена атака

Атака, как правило, начинается с социальной инженерии. Злоумышленник выдает себя за сотрудника ИТ-отдела, используя, в частности, Microsoft Teams, и убеждает пользователя загрузить якобы необходимое обновление. На практике жертве предлагается зашифрованный ZIP-архив, внутри которого находятся компоненты для развертывания Edgecution.

Архив содержит:

  • дистрибутив Python;
  • вредоносное расширение для Microsoft Edge;
  • обфусцированный Python-скрипт, запускающий вредоносные функции.

После установки дополнительные команды, встроенные в AutoHotKey или другие скрипты, подготавливают среду, исправляют заголовки ZIP-файлов и создают запланированную задачу. Она запускает Microsoft Edge уже с загруженным вредоносным расширением.

Что делает Edgecution

Расширение маскируется под Edge Monitoring Agent и устанавливает связь с сервером управления и контроля (C2), размещенным на AWS. При этом Python-бэкдор работает как связующее звено: он запускается в headless-режиме, что помогает злоумышленникам не привлекать внимания пользователя и сохранять оперативный контроль над скомпрометированной средой.

Ключевая особенность Edgecution — использование протокола Native Messaging в Chrome. Благодаря ему вредоносное расширение может взаимодействовать с внешним процессом и инициировать выполнение задач на хосте. Это позволяет атакующим:

  • манипулировать локальной файловой системой;
  • выполнять произвольный код;
  • запускать процессы непосредственно на скомпрометированном хосте.

По данным отчета, многие из этих операций требуют прав, которые обычно недоступны обычным браузерным расширениям.

Связь между расширением и бэкдором

Обмен данными между вредоносным расширением и Python-бэкдором организован в формате JSON. Сообщения содержат типы команд и результаты их выполнения, что делает канал управления относительно гибким и удобным для злоумышленников.

Именно это взаимодействие демонстрирует, насколько продвинутой стала тактика закрепления в инфраструктуре жертв. Использование одновременно браузерного расширения и Python-бэкдора помогает сохранять foothold даже в хорошо защищенных средах.

Почему это важно для организаций

Отчет подчеркивает, что методы, применяемые аффилиатами программ-вымогателей Payouts King, отражают эволюцию их тактик. Теперь атаки все чаще опираются не только на шифрование данных, но и на многоступенчатую инфраструктуру первичного доступа и скрытого управления.

Чтобы снизить риски, организациям рекомендуется:

  • контролировать установку браузерных расширений;
  • мониторить конфигурации Native Messaging;
  • проводить обучение пользователей распознаванию подозрительных сообщений;
  • особенно внимательно относиться к «обновлениям», которые распространяются через мессенджеры и имитируют легитимные запросы ИТ-службы.

Итог отчета однозначен: Edgecution — это не просто вредоносное расширение, а инструмент глубокой интеграции в среду жертвы, позволяющий атакующим сочетать социальную инженерию, браузерные техники и бэкдорные механизмы для устойчивого контроля над системой.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: