Edge extension ที่เป็นอันตรายใช้ประโยชน์จาก Native Messaging เป็นช่องทางในการส่งมัลแวร์เข้าสู่ระบบ

Microsoft Edge extension ที่เป็นอันตรายซึ่งมีชื่อว่า 'Edgecution' ถูกนำมาใช้ในการโจมตีด้วยแรนซัมแวร์ที่สามารถ Escape ออกจาก Sandbox ของเบราว์เซอร์ และฝัง Backdoor ที่เขียนด้วยภาษา Python ได้

การเข้าถึงระบบในระดับ Local system นั้นทำได้โดยอาศัยโพรโทคอล Chrome Native Messaging ซึ่งเปิดให้ Extensions เบราว์เซอร์สามารถสื่อสารกับแอปพลิเคชันบน Desktop ได้ เช่นเดียวกับโปรแกรม Password manager สื่อสารกับ Extension เพื่อกรอกข้อมูลลงในแบบฟอร์มบนเว็บไซต์

กลไกนี้ช่วยให้เบราว์เซอร์สามารถเรียกใช้แอปพลิเคชันในเครื่องโดยแยกการทำงานออกเป็นอีกโปรเซสหนึ่ง และสื่อสารกันผ่านระบบรับส่งข้อมูล Input และ Output แบบ Standard

การเจาะระบบของ Edgecution เริ่มต้นจากการที่ผู้โจมตีปลอมตัวเป็นพนักงาน IT support บน Microsoft Teams และหลอกล่อให้พนักงานเข้าไปยังหน้าเว็บปลอม โดยอ้างว่าเพื่อติดตั้งตัวอัปเดตระบบ Spam filter

นักวิจัยจากบริษัทรักษาความปลอดภัยบนคลาวด์ Zscaler เชื่อว่า Edgecution ถูกปล่อยโดยกลุ่ม Initial Access Broker (IAB) ที่มีความเชื่อมโยงกับกลุ่มแรนซัมแวร์ Payouts Kings

ในการโจมตีเมื่อไม่นานมานี้ซึ่งใช้กลยุทธ์ที่เคยพบว่าเกี่ยวข้องกับกลุ่ม Initial Access Broker ผู้ไม่หวังดีได้หลอกล่อเหยื่อไปยังหน้าเว็บปลอมที่ทำเลียนแบบ "Outlook Updates Management Console" ของ Microsoft โดยจะแสดงปุ่มให้ดาวน์โหลดแพ็กเกจอัปเดต หรือยืนยันซอฟต์แวร์

อย่างไรก็ตาม ปุ่มดังกล่าวจะทำการดาวน์โหลดส่วนประกอบที่เป็นอันตราย, คัดลอกสคริปต์ลงใน Clipboard หรือเปิดหน้าฟอร์มเพื่อหลอกขอรหัสผ่าน Microsoft 365 และ Outlook ของเหยื่อ

Zscaler ระบุว่า "ปุ่มเหล่านี้จะเป็นช่องทางให้ผู้ไม่หวังดีสามารถเลือกใช้สคริปต์ได้ 3 รูปแบบ (ได้แก่ สคริปต์ AutoHotKey, สคริปต์ Windows batch และสคริปต์ PowerShell) เพื่อนำมัลแวร์ Edgecution ไปฝังไว้ในระบบ"

"เมื่อสคริปต์ AutoHotKey หรือข้อมูลใน Clipboard ถูกรัน คำสั่งเหล่านั้นจะทำการตั้งค่า Environment, แก้ไข Headers ของไฟล์ ZIP ที่เข้ารหัสไว้, Extract ไฟล์ที่เกี่ยวข้องออกมา และสร้าง Scheduled Task เพื่อสั่งรัน Microsoft Edge"

องค์ประกอบของมัลแวร์จะถูกดาวน์โหลดมาจากเว็บไซต์อัปเดตปลอมของ Microsoft ในรูปแบบไฟล์ ZIP ซึ่งถูกดัดแปลง Headers ไฟล์ให้ผิดปกติ เพื่อหลบเลี่ยงไม่ให้ระบบรักษาความปลอดภัยตรวจจับพบว่าเป็นไฟล์ที่สมบูรณ์

นักวิจัยระบุว่า ภายในไฟล์ ZIP ดังกล่าวมีการฝังโปรแกรม Python เวอร์ชัน 3.13.3 พร้อมด้วยโฟลเดอร์ 2 โฟลเดอร์ที่ชื่อว่า 'extension' และ 'native' ซึ่งเป็นเบาะแสสำคัญที่แสดงถึงเทคนิคที่ใช้ในการโจมตีครั้งนี้

องค์ประกอบแรกของมัลแวร์คือ Microsoft Edge extension ที่เป็นอันตราย ซึ่งถูกปลอมแปลงให้เป็นเครื่องมือ 'Edge Monitoring Agent' โดยมัลแวร์จะทำหน้าที่เชื่อมต่อไปยังเซิร์ฟเวอร์ C2 ของผู้โจมตี เพื่อรับคำสั่งมาทำงาน และส่งผลลัพธ์ที่ได้กลับไปยังผู้ควบคุม

มัลแวร์ Edgecution จะทำงานอยู่เบื้องหลังบนเบราว์เซอร์ Edge แบบไม่แสดงผล (headless) ทำให้ผู้ใช้มองไม่เห็นการทำงานของมัลแวร์ และจะใช้โปรโตคอล Native Messaging ของ Chrome เพื่อสื่อสารกับแอปพลิเคชันภายในเครื่อง

โดยปกติแล้ว Extension จะถูกจำกัดการทำงานให้อยู่แค่ภายใน Sandbox ของเบราว์เซอร์เท่านั้น แต่ผู้โจมตีสามารถข้ามข้อจำกัดนี้ได้โดยอาศัยองค์ประกอบที่สองของมัลแวร์ ซึ่งก็คือ Backdoor ที่เขียนด้วยภาษา Python เพื่อทำหน้าที่เป็นตัวประมวลผลคำสั่งในระดับ Host

องค์ประกอบส่วนนี้จะคอยรับคำสั่งที่ถูกส่งต่อมาจาก Extension ที่เป็นอันตราย และอาจถูกสั่งให้ทำงานต่าง ๆ ดังต่อไปนี้

  • รัน Shell commands
  • รัน PowerShell
  • รันโค้ด Python ใด ๆ ก็ได้ตามต้องการ
  • เขียนไฟล์ลงบนเครื่อง Host
  • Enumerate รายชื่อโปรเซสที่กำลังทำงานอยู่
  • รวบรวมข้อมูลของระบบ

หน้าที่ของสคริปต์คือการสร้างช่องทางให้ Extension สามารถเรียกใช้ Python backdoor ได้ ซึ่งทำได้โดยการสร้างไฟล์ batch ลงในโฟลเดอร์ native เพื่อให้ Extension สามารถเรียกใช้งานได้

นอกจากนี้ สคริปต์เหล่านี้ยังจะสร้างไฟล์ Manifest ของ Chrome Native Messaging ที่จำเป็น ซึ่งจะระบุวิธีการที่เบราว์เซอร์สามารถเชื่อมต่อกับแอปพลิเคชันภายในเครื่องได้

บทวิเคราะห์ทางเทคนิคของ Zscaler ระบุว่า องค์ประกอบของมัลแวร์ทั้งสองส่วนยังมีคำสั่งบางอย่างที่ยังไม่ได้ถูกนำมาใช้งาน ซึ่งอาจถูกเปิดใช้งานได้ในเวอร์ชันต่อ ๆ ไป

นักวิจัยเตือนว่า วิธีการที่ Edgecution ใช้นั้น แสดงให้เห็นถึงความซับซ้อนที่พัฒนาไปอีกขั้นของกลุ่มผู้ไม่หวังดีที่เชื่อมโยงกับขบวนการแรนซัมแวร์ และยังช่วยให้พวกเขาสามารถแฝงตัวอยู่ในเครื่อง Hosts ที่ถูกโจมตีระบบได้อย่างถาวร

พวกเขาแนะนำให้องค์กรต่าง ๆ ยกระดับการตรวจสอบ Extensions เบราว์เซอร์ให้เข้มงวดขึ้น และบังคับใช้มาตรการควบคุมการตั้งค่า Host ของ Native Messaging อย่างรัดกุม เพื่อลดความเสี่ยงจากการถูกโจมตีระบบ

รายงานของ Zscaler ยังได้ระบุรายการข้อมูล Indicators of Compromise (IoCs) ซึ่งประกอบไปด้วยเซิร์ฟเวอร์ C2 ที่ Edgecution ใช้, ค่า Hashes ของ Extension ที่เป็นอันตราย และของตัว Python backdoor

Indicators Of Compromise (IOCs)

ที่มา : Bleepingcomputer