O malware Edgecution está chamando a atenção da comunidade de segurança por explorar um dos mecanismos mais sensíveis dos navegadores baseados em Chromium. Descoberta por pesquisadores da Zscaler ThreatLabz, a ameaça combina uma extensão maliciosa do Microsoft Edge com um backdoor em Python para criar uma ponte entre o navegador e o sistema operacional, algo que normalmente deveria ser impedido pelas camadas de isolamento do navegador.
O caso reforça um alerta cada vez mais importante para profissionais de TI: extensões de navegador não são apenas complementos inofensivos. Quando utilizadas por agentes maliciosos, elas podem se transformar em ferramentas avançadas de acesso inicial, espionagem e implantação de ransomware.
Neste artigo, vamos analisar como funciona o ataque do malware Edgecution, por que o abuso do protocolo Native Messaging representa um risco significativo e quais medidas podem ajudar a reduzir a superfície de ataque em ambientes corporativos e domésticos.
Como funciona o ataque do malware Edgecution
Segundo a análise da Zscaler, a campanha foi associada a um agente de acesso inicial (Initial Access Broker – IAB) ligado ao grupo de ransomware Payouts Kings. O objetivo dos criminosos é obter acesso persistente às máquinas das vítimas antes da implantação de cargas maliciosas mais destrutivas.
A cadeia de infecção começa com uma sofisticada campanha de engenharia social. Os invasores entram em contato com as vítimas por meio do Microsoft Teams, fingindo ser integrantes da equipe de suporte técnico da empresa.
Durante a conversa, os usuários são direcionados para uma página falsa que imita um suposto Console de Gerenciamento de Atualizações do Outlook ou uma interface relacionada a atualizações da Microsoft. A aparência legítima do portal aumenta significativamente as chances de sucesso do golpe.
Ao seguir as instruções fornecidas pelos falsos técnicos, a vítima acaba baixando arquivos que iniciam o processo de comprometimento do sistema.
A armadilha do arquivo ZIP modificado
Um dos aspectos mais interessantes do ataque do malware Edgecution é a forma como ele tenta evitar a detecção por soluções de segurança tradicionais.
A vítima recebe um pacote contendo diversos componentes, incluindo scripts em AutoHotKey, arquivos Batch, comandos PowerShell e um arquivo ZIP criptografado. Os pesquisadores observaram que os atacantes modificaram estruturas internas e cabeçalhos do arquivo compactado para dificultar a análise automática por mecanismos de segurança convencionais.
Após a execução dos scripts, o malware cria um perfil oculto do navegador Microsoft Edge, instala a extensão maliciosa, configura os componentes Python necessários para a comunicação com o invasor e registra mecanismos de persistência no sistema.
O resultado é uma infecção discreta, difícil de ser percebida pelo usuário comum.
Como o malware Edgecution usa o Native Messaging para escapar do sandbox
O diferencial técnico da ameaça está no uso indevido do protocolo Chrome Native Messaging, um recurso legítimo presente em navegadores baseados em Chromium.
Em condições normais, o Native Messaging permite que uma extensão se comunique com um aplicativo instalado localmente no computador. Essa funcionalidade é amplamente utilizada por ferramentas legítimas, como gerenciadores de senhas, softwares corporativos e soluções de autenticação.
O funcionamento ocorre por meio de um processo chamado Native Messaging Host, que recebe e envia mensagens entre a extensão e um programa nativo do sistema operacional. O navegador valida quais extensões podem acessar esse host por meio de arquivos de configuração específicos.
No caso do Edgecution, os criminosos utilizam essa funcionalidade para criar uma conexão entre a extensão maliciosa e um backdoor instalado localmente. Dessa forma, conseguem ultrapassar as limitações normalmente impostas pelo sandbox do navegador.
Outro detalhe preocupante é que a extensão opera em um perfil oculto do Edge executado em modo headless, ou seja, sem interface gráfica visível. Isso permite que o malware permaneça ativo sem abrir janelas ou gerar comportamentos facilmente perceptíveis para o usuário.
O backdoor em Python e as ações no sistema
O segundo componente da operação é um backdoor em Python, responsável por executar comandos diretamente no sistema comprometido.
Depois que a comunicação é estabelecida por meio do Native Messaging, os operadores passam a ter acesso a uma série de capacidades avançadas. Entre as funções identificadas pelos pesquisadores estão:
- Execução de comandos de shell;
- Execução de comandos PowerShell;
- Execução de código Python remotamente;
- Criação e gravação de arquivos;
- Enumeração de processos ativos;
- Coleta de informações do sistema;
- Reconhecimento do ambiente comprometido.
Na prática, essas capacidades fornecem aos invasores controle suficiente para preparar o ambiente para etapas posteriores do ataque, incluindo roubo de dados, movimentação lateral e implantação de ransomware.
A comunicação da extensão com a infraestrutura de comando e controle também ocorre por meio de conexões remotas observadas pelos pesquisadores, permitindo que novas instruções sejam recebidas continuamente.
Por que o Edgecution preocupa especialistas em segurança
O caso demonstra uma evolução significativa nas técnicas utilizadas por agentes de acesso inicial.
Historicamente, muitas campanhas de ransomware dependiam de anexos maliciosos ou exploits tradicionais. O malware Edgecution mostra uma abordagem mais sofisticada, aproveitando recursos legítimos do ecossistema Chromium para contornar barreiras de segurança.
O uso de extensões maliciosas também representa um desafio para equipes de segurança, pois muitas organizações ainda concentram seus controles em aplicativos e executáveis convencionais, dedicando menos atenção ao monitoramento de extensões de navegador.
Além disso, o abuso do Native Messaging evidencia como funcionalidades criadas para ampliar a integração entre navegador e sistema operacional podem ser transformadas em vetores de ataque quando exploradas por criminosos.
Conclusão e recomendações de segurança
A descoberta do malware Edgecution reforça uma tendência preocupante: grupos ligados ao ecossistema de ransomware estão investindo cada vez mais em técnicas furtivas de acesso inicial. Ao combinar engenharia social, uma extensão maliciosa do Edge, o protocolo Native Messaging e um backdoor em Python, os operadores conseguem escapar das limitações tradicionais do navegador e obter controle significativo sobre o sistema da vítima.
Para reduzir os riscos, organizações devem implementar políticas rígidas de controle de extensões, monitorar processos iniciados por navegadores, restringir instalações não autorizadas e investir em treinamento contínuo contra ataques de engenharia social.
A campanha Edgecution mostra que a segurança dos navegadores deixou de ser apenas uma questão de navegação segura. Hoje, ela faz parte da linha de frente na defesa contra ameaças avançadas e operações de ransomware.