Payouts King: Edgecution обходит защиту Edge и запускает код
Шифровальщик Payouts King использует необычно сложную схему закрепления в инфраструктуре жертв: в атаке задействованы вредоносное расширение для Microsoft Edge под названием Edgecution и бэкдор на базе Python. По данным отчета, эта связка позволяет злоумышленникам выходить за рамки типичных ограничений браузерной песочницы, получать расширенный контроль над хост-системой и выполнять действия, которые обычно недоступны обычным расширениям.
Как устроена атака
Атака, как правило, начинается с социальной инженерии. Злоумышленник выдает себя за сотрудника ИТ-отдела, используя, в частности, Microsoft Teams, и убеждает пользователя загрузить якобы необходимое обновление. На практике жертве предлагается зашифрованный ZIP-архив, внутри которого находятся компоненты для развертывания Edgecution.
Архив содержит:
- дистрибутив Python;
- вредоносное расширение для Microsoft Edge;
- обфусцированный Python-скрипт, запускающий вредоносные функции.
После установки дополнительные команды, встроенные в AutoHotKey или другие скрипты, подготавливают среду, исправляют заголовки ZIP-файлов и создают запланированную задачу. Она запускает Microsoft Edge уже с загруженным вредоносным расширением.
Что делает Edgecution
Расширение маскируется под Edge Monitoring Agent и устанавливает связь с сервером управления и контроля (C2), размещенным на AWS. При этом Python-бэкдор работает как связующее звено: он запускается в headless-режиме, что помогает злоумышленникам не привлекать внимания пользователя и сохранять оперативный контроль над скомпрометированной средой.
Ключевая особенность Edgecution — использование протокола Native Messaging в Chrome. Благодаря ему вредоносное расширение может взаимодействовать с внешним процессом и инициировать выполнение задач на хосте. Это позволяет атакующим:
- манипулировать локальной файловой системой;
- выполнять произвольный код;
- запускать процессы непосредственно на скомпрометированном хосте.
По данным отчета, многие из этих операций требуют прав, которые обычно недоступны обычным браузерным расширениям.
Связь между расширением и бэкдором
Обмен данными между вредоносным расширением и Python-бэкдором организован в формате JSON. Сообщения содержат типы команд и результаты их выполнения, что делает канал управления относительно гибким и удобным для злоумышленников.
Именно это взаимодействие демонстрирует, насколько продвинутой стала тактика закрепления в инфраструктуре жертв. Использование одновременно браузерного расширения и Python-бэкдора помогает сохранять foothold даже в хорошо защищенных средах.
Почему это важно для организаций
Отчет подчеркивает, что методы, применяемые аффилиатами программ-вымогателей Payouts King, отражают эволюцию их тактик. Теперь атаки все чаще опираются не только на шифрование данных, но и на многоступенчатую инфраструктуру первичного доступа и скрытого управления.
Чтобы снизить риски, организациям рекомендуется:
- контролировать установку браузерных расширений;
- мониторить конфигурации Native Messaging;
- проводить обучение пользователей распознаванию подозрительных сообщений;
- особенно внимательно относиться к «обновлениям», которые распространяются через мессенджеры и имитируют легитимные запросы ИТ-службы.
Итог отчета однозначен: Edgecution — это не просто вредоносное расширение, а инструмент глубокой интеграции в среду жертвы, позволяющий атакующим сочетать социальную инженерию, браузерные техники и бэкдорные механизмы для устойчивого контроля над системой.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



