L'entreprise de cybersécurité Zscaler a repéré Edgecution, une extension Microsoft Edge vérolée et employée lors d'une attaque par ransomware pour s'extraire du bac à sable du navigateur et installer une porte dérobée.
L'attaque démarre par une prise de contact sur Microsoft Teams. L'assaillant se fait passer pour un membre du support informatique. Elle se poursuit par le détournement d'un mécanisme légitime du navigateur, normalement réservé à des usages plus anodins comme la communication entre un gestionnaire de mots de passe et son extension.
Un faux correctif Outlook comme point d'entrée
Selon Zscaler, les victimes reçoivent sur Teams un message leur annonçant la nécessité d'installer une mise à jour pour Outlook ou un filtre antispam. Le lien fourni mène vers un site imitant une "Outlook Updates Management Console". La page en question propose trois méthodes : un script AutoHotKey, un fichier batch Windows ou un script PowerShell. Quelle que soit l'option choisie, le script récupère une archive ZIP aux en-têtes volontairement corrompus pour échapper aux outils de sécurité, avant de les réparer, d'extraire son contenu et de créer une tâche planifiée qui lance Microsoft Edge.
Cette tâche planifiée démarre une instance d'Edge en mode headless, c'est-à-dire, sans fenêtre visible. Puis, elle installe l'extension malveillante sous le nom "Edge Monitoring Agent". Cette extension contacte un serveur de commande et de contrôle, mais reste prisonnière du bac à sable propre aux extensions de navigateur. Pour en sortir, elle s'appuie sur le Native Messaging, un protocole intégré à Chrome et donc à Edge, lequel permet au navigateur de lancer une application installée sur l'ordinateur sous la forme d'un processus séparé, puis d'échanger des messages avec elle. C'est par exemple le comportement qu'aurait un gestionnaire de mots de passe pour remplir un formulaire web. Dans le cas d'Edgecution, ce processus séparé est précisément le programme Python livré par l'archive, celui qui fait office de porte dérobée.
Ce programme reçoit ses ordres depuis l'extension et peut exécuter des commandes shell, lancer des scripts PowerShell ou du code Python arbitraire, écrire des fichiers sur la machine, recenser les processus actifs ou collecter des informations système. Dans ce dossier, l'archive crée aussi un fichier batch que l'extension peut invoquer, ainsi qu'un fichier de manifeste qui décrit au navigateur comment se connecter à cette application. Zscaler précise que les deux composants comportent des commandes inutilisées à ce stade, ce qui laisse penser que de nouvelles fonctions pourraient être activées dans des versions ultérieures.
