Investigadores de ciberseguridad han identificado una nueva técnica de ataque denominada “Edgecution”, la cual emplea una extensión maliciosa de Microsoft Edge para escapar del entorno aislado del navegador y ejecutar malware directamente en el sistema operativo.
La campaña, vinculada a operaciones de ransomware, aprovecha una funcionalidad legítima del navegador conocida como Chrome Native Messaging, diseñada originalmente para permitir que las extensiones se comuniquen con aplicaciones instaladas en el equipo.
Sin embargo, los actores de amenazas han encontrado la forma de abusar de esta característica para establecer persistencia, ejecutar comandos arbitrarios y desplegar una puerta trasera basada en Python en los dispositivos comprometidos.
¿Cómo inicia el ataque?
La cadena de infección comienza con una campaña de ingeniería social.
Los atacantes se hacen pasar por personal del área de soporte técnico y contactan a las víctimas mediante plataformas de colaboración empresarial, indicando que es necesario instalar una supuesta actualización de seguridad o un filtro antispam.
Las víctimas son dirigidas a un sitio fraudulento que simula ser un portal oficial de actualizaciones de Microsoft y presenta opciones de descarga aparentemente legítimas.
Sin embargo, los botones disponibles ejecutan distintas acciones maliciosas, entre ellas:
- Descarga de componentes maliciosos.
- Copia automática de scripts al portapapeles.
- Ejecución de scripts mediante PowerShell, Batch o AutoHotKey.
- Solicitud de credenciales de Microsoft 365 y Outlook.
Una vez ejecutados los scripts, se inicia el proceso de instalación del malware.
Uso malicioso de Chrome Native Messaging
El aspecto más innovador de esta campaña es el abuso del protocolo Chrome Native Messaging.
Esta funcionalidad permite que las extensiones del navegador interactúen con aplicaciones nativas del sistema operativo mediante procesos independientes y canales de entrada y salida estándar.
En condiciones normales, esta capacidad es utilizada por:
- Administradores de contraseñas.
- Herramientas de autenticación.
- Soluciones corporativas de productividad.
- Aplicaciones de sincronización.
No obstante, en esta campaña los atacantes emplean el mecanismo para superar las restricciones del sandbox del navegador y ejecutar código directamente sobre el sistema comprometido.
Cadena de infección de Edgecution
La operación maliciosa se compone de dos elementos principales:
1. Extensión maliciosa de Microsoft Edge
La primera etapa consiste en una extensión fraudulenta que se presenta como un supuesto Edge Monitoring Agent.
Sus funciones principales incluyen:
- Establecer comunicación con la infraestructura de mando y control (C2).
- Recibir instrucciones de los operadores.
- Ejecutar tareas dentro del navegador.
- Enviar los resultados obtenidos al servidor remoto.
La extensión se ejecuta en una instancia de Microsoft Edge en modo headless, es decir, sin una ventana visible para el usuario, dificultando su detección.
2. Backdoor basado en Python
La segunda etapa corresponde a una puerta trasera desarrollada en Python que actúa como ejecutor principal sobre el sistema operativo.
A través del canal Native Messaging, la extensión envía instrucciones al backdoor, el cual posee capacidades para:
- Ejecutar comandos del sistema.
- Lanzar scripts de PowerShell.
- Ejecutar código Python arbitrario.
- Crear y modificar archivos.
- Enumerar procesos en ejecución.
- Recopilar información del sistema.
Esta arquitectura permite que los atacantes obtengan un alto nivel de control sobre el dispositivo comprometido.
Técnicas de evasión y persistencia
La campaña incorpora diversos mecanismos para dificultar la detección por parte de las soluciones de seguridad.
Entre ellos destacan:
Archivos comprimidos modificados
Los componentes maliciosos son descargados en archivos ZIP cuyos encabezados han sido alterados deliberadamente para impedir que ciertas herramientas de seguridad los identifiquen como archivos comprimidos válidos.
Ejecución invisible
El navegador es ejecutado en modo oculto, evitando que el usuario observe actividades sospechosas.
Tareas programadas
Los scripts crean tareas programadas en Windows para garantizar la persistencia y asegurar la ejecución del malware tras un reinicio del sistema.
Configuración automática del entorno
La amenaza genera los archivos de configuración necesarios para habilitar la comunicación entre la extensión y la aplicación nativa, automatizando completamente la instalación.
Riesgos para las organizaciones
La técnica utilizada por Edgecution representa una evolución significativa en las tácticas empleadas por grupos vinculados al ransomware.
El compromiso exitoso de un dispositivo podría permitir:
- Robo de credenciales corporativas.
- Ejecución remota de código.
- Instalación de herramientas adicionales.
- Movimiento lateral dentro de la red.
- Persistencia prolongada en los sistemas.
- Despliegue posterior de ransomware.
- Exfiltración de información sensible.
Debido a que la actividad inicial ocurre a través de un navegador legítimo y de funcionalidades permitidas por el sistema operativo, la detección temprana puede resultar especialmente compleja.
Indicadores de riesgo
Las organizaciones deberían prestar especial atención a los siguientes comportamientos:
- Ejecución de Microsoft Edge en modo headless.
- Creación inesperada de manifiestos de Native Messaging.
- Aparición de extensiones no autorizadas.
- Descarga y ejecución de scripts desde sitios no oficiales.
- Creación de tareas programadas asociadas al navegador.
- Procesos de Python iniciados por Microsoft Edge.
- Comunicaciones inusuales entre el navegador y aplicaciones locales.
Recomendaciones de seguridad
Para reducir el riesgo de compromiso, se recomienda:
- Restringir la instalación de extensiones de navegador mediante políticas corporativas.
- Implementar listas de extensiones permitidas (Allow Lists).
- Monitorear la creación y modificación de configuraciones de Native Messaging.
- Bloquear la ejecución de scripts no autorizados.
- Supervisar la ejecución de navegadores en modo headless.
- Implementar controles de aplicación y ejecución basados en comportamiento.
- Capacitar a los usuarios frente a campañas de ingeniería social y falsas actualizaciones de software.
- Mantener un monitoreo continuo de actividades anómalas relacionadas con navegadores y procesos de Python.
El navegador se convierte en un nuevo vector de acceso inicial
La aparición de Edgecution demuestra cómo los actores de amenazas continúan explotando funcionalidades legítimas de los sistemas para desarrollar técnicas cada vez más sofisticadas y difíciles de detectar.
El abuso de mecanismos como Native Messaging evidencia que los navegadores modernos se han convertido en un componente crítico dentro de la superficie de ataque empresarial y en un objetivo cada vez más atractivo para las operaciones de ransomware y acceso inicial.
Las organizaciones deberán reforzar la supervisión de extensiones, políticas de ejecución y mecanismos de comunicación entre aplicaciones si desean reducir el riesgo de este tipo de compromisos avanzados.
