Κακόβουλη επέκταση του Microsoft Edge χρησιμοποίησε το Native Messaging ως γέφυρα προς malware

Μια κακόβουλη επέκταση για τον Microsoft Edge, με την ονομασία Edgecution, χρησιμοποιήθηκε σε επίθεση που σύμφωνα με αναφορά του BleepingComputer και της Zscaler συνδέεται με δραστηριότητα γύρω από ransomware. Το ενδιαφέρον στοιχείο δεν είναι απλώς ότι η επίθεση βασίστηκε σε browser extension, αλλά ότι αξιοποίησε το Chrome Native Messaging protocol, έναν νόμιμο μηχανισμό που επιτρέπει σε επεκτάσεις να επικοινωνούν με τοπικές εφαρμογές στο σύστημα.

Το Native Messaging υπάρχει για θεμιτές χρήσεις. Για παράδειγμα, μια επέκταση μπορεί να χρειάζεται επικοινωνία με μια τοπική εφαρμογή, όπως συμβαίνει σε ορισμένα password managers ή enterprise εργαλεία. Σύμφωνα με την τεκμηρίωση της Microsoft, οι native εφαρμογές δεν εγκαθίστανται ή δεν διαχειρίζονται απευθείας από τον Edge, ενώ η επικοινωνία γίνεται μέσω ενός native messaging host που ανταλλάσσει μηνύματα με την επέκταση.

Πώς χρησιμοποιήθηκε στην επίθεση

Σύμφωνα με την αναφορά, η αλυσίδα ξεκινούσε με κοινωνική μηχανική. Ο επιτιθέμενος παρουσιαζόταν ως προσωπικό IT support μέσω Microsoft Teams και οδηγούσε εργαζόμενους σε ψεύτικη σελίδα, η οποία υποτίθεται ότι αφορούσε ενημέρωση ή έλεγχο λογισμικού. Από εκεί, ο χρήστης παραπλανιόταν ώστε να εκτελέσει στοιχεία που οδηγούσαν στην εγκατάσταση των κακόβουλων components.

Η κακόβουλη επέκταση λειτουργούσε ως μέρος της αλυσίδας, αλλά το κρίσιμο στοιχείο ήταν η σύνδεσή της με τοπικό component. Με απλά λόγια, το extension δεν έμενε μόνο μέσα στα όρια του browser. Μέσω Native Messaging μπορούσε να επικοινωνεί με ένα τοπικό backdoor, το οποίο είχε δυνατότητα εκτέλεσης ενεργειών στο ίδιο το σύστημα. Αυτό ακριβώς κάνει την τεχνική πιο σοβαρή από ένα απλό κακόβουλο πρόσθετο browser.

Το BleepingComputer αναφέρει ότι το malware έτρεχε σε headless Edge browser, δηλαδή χωρίς ορατό παράθυρο για τον χρήστη, και χρησιμοποιούσε το Native Messaging για επικοινωνία με το τοπικό component. Η Zscaler συνδέει τη δραστηριότητα με initial access broker που σχετίζεται με την επιχείρηση ransomware Payouts King.

Γιατί αφορά και τους απλούς χρήστες

Το περιστατικό έχει σημασία επειδή δείχνει ότι οι επεκτάσεις browser δεν είναι “μικρά πρόσθετα”. Σε ορισμένα σενάρια μπορούν να γίνουν κρίσιμο σημείο εισόδου, ειδικά όταν συνδυάζονται με παραπλάνηση χρηστών, ψεύτικες σελίδες ενημερώσεων και τοπικά components που εγκαθίστανται εκτός του browser.

Για εταιρικά περιβάλλοντα, το μήνυμα είναι σαφές: οι browser extensions πρέπει να ελέγχονται κεντρικά, με allowlist πολιτικές όπου είναι δυνατόν, παρακολούθηση των native messaging hosts και περιορισμό εγκατάστασης πρόσθετων από μη εγκεκριμένες πηγές. Για απλούς χρήστες, το πρακτικό συμπέρασμα είναι πιο απλό: δεν εγκαθιστούμε επεκτάσεις ή “ενημερώσεις” που μας προτείνονται μέσω μηνυμάτων, άγνωστων σελίδων ή δήθεν οδηγιών υποστήριξης.

Τι πρέπει να ελέγχουν οι χρήστες

Οι χρήστες καλό είναι να ελέγχουν τακτικά τις εγκατεστημένες επεκτάσεις στον browser τους και να αφαιρούν όσες δεν αναγνωρίζουν ή δεν χρησιμοποιούν. Σε εταιρικά συστήματα, οι διαχειριστές θα πρέπει να εξετάζουν όχι μόνο τις ίδιες τις επεκτάσεις, αλλά και τα native messaging host configurations, καθώς αυτά καθορίζουν ποιες τοπικές εφαρμογές μπορούν να επικοινωνούν με browser extensions.

Ιδιαίτερη προσοχή χρειάζεται σε περιπτώσεις όπου κάποιος ζητά από τον χρήστη να εγκαταστήσει “update”, “spam filter”, “security verification” ή παρόμοιο εργαλείο εκτός των επίσημων μηχανισμών ενημέρωσης. Τέτοιες τακτικές είναι πλέον συνηθισμένες σε επιθέσεις που ξεκινούν με κοινωνική μηχανική και καταλήγουν σε εγκατάσταση malware.

Συμπέρασμα

Η υπόθεση Edgecution δεν σημαίνει ότι το Native Messaging είναι από μόνο του κακόβουλο. Είναι νόμιμο χαρακτηριστικό των Chromium-based browsers, με πραγματικές χρήσεις. Δείχνει όμως ότι όταν ένα τέτοιο χαρακτηριστικό συνδυαστεί με κακόβουλη επέκταση, κοινωνική μηχανική και τοπικό backdoor, το browser extension μπορεί να μετατραπεί σε γέφυρα προς βαθύτερη πρόσβαση στο σύστημα.

Για τους χρήστες, η βασική άμυνα παραμένει η προσεκτική εγκατάσταση επεκτάσεων και η αποφυγή οδηγιών που έρχονται από μη επαληθευμένες πηγές. Για οργανισμούς, το περιστατικό είναι ακόμη μία υπενθύμιση ότι η πολιτική ασφαλείας πρέπει να καλύπτει και το επίπεδο του browser, όχι μόνο το λειτουργικό σύστημα και τα κλασικά endpoints.

Πηγές

• Malicious Edge extension abuses Native Messaging as bridge to malware - BleepingComputer
• Native messaging - Microsoft Learn