Una extensión de Edge convierte el navegador en puerta de entrada para ransomware

Los atacantes siguen explorando vectores menos vigilados para comprometer sistemas corporativos. El último ejemplo documentado implica una extensión maliciosa para Microsoft Edge denominada 'Edgecution', que fue utilizada como pieza clave en una cadena de ataque que culminó con el despliegue de ransomware.

El truco: Native Messaging como puente hacia el sistema operativo

Los navegadores modernos ejecutan las extensiones dentro de un sandbox diseñado para impedir que el código de la extensión interactúe directamente con el sistema operativo. Sin embargo, la API de Native Messaging existe precisamente para cuando esa comunicación es legítima y necesaria: permite que una extensión envíe y reciba mensajes de una aplicación de escritorio instalada en la máquina, siempre que ambas estén registradas con las claves adecuadas en el sistema.

En este ataque, los actores de amenaza aprovecharon ese mecanismo para que la extensión 'Edgecution' actuara como intermediario: una vez instalada en el navegador de la víctima, establece un canal de comunicación con un proceso local malicioso fuera del sandbox. Ese proceso local es una puerta trasera escrita en Python que sirve de cabeza de playa para las fases posteriores del ataque.

De backdoor a cifrado de datos

Una vez que el backdoor Python está operativo en el host, los atacantes disponen de ejecución remota de comandos en el entorno de la víctima. A partir de ahí, la cadena de infección progresa hasta el despliegue del payload de ransomware, que procede a cifrar ficheros en el sistema comprometido siguiendo el patrón clásico de extorsión por datos.

Este caso ilustra un riesgo frecuentemente subestimado: las extensiones de navegador son software de terceros que se ejecuta con sesión de usuario, tienen acceso a todo lo que ocurre en el navegador y, si combinan Native Messaging con un host local malicioso, consiguen sortear el aislamiento del sandbox sin necesidad de explotar ninguna vulnerabilidad de día cero en el navegador.

Recomendaciones prácticas

  • Auditar las extensiones instaladas en los navegadores corporativos y aplicar políticas de allow-list mediante GPO o Microsoft Intune.
  • Controlar los hosts de Native Messaging registrados en el sistema; entradas sospechosas en HKCU\Software\Google\Chrome\NativeMessagingHosts o su equivalente para Edge son una señal de alerta temprana.
  • Restringir la ejecución de intérpretes como Python en endpoints donde no sea estrictamente necesario (application control / WDAC).
  • Monitorizar actividad de cifrado masivo de ficheros mediante reglas de detección de comportamiento en el endpoint.

¿Estás cubierto en DefensOps?

DefensOps detecta la fase de cifrado de datos característica de los ataques de ransomware mediante la técnica MITRE ATT&CK T1486 – Data Encrypted for Impact, cubierta por la regla 111030 disponible en el plan Professional.

Si un payload de ransomware intenta cifrar ficheros en tu entorno tras haber escalado desde una extensión de navegador, DefensOps correlacionará la actividad y generará una alerta antes de que el daño se extienda.

👉 Consulta nuestros planes y solicita una demo en la página de precios de DefensOps para ver cómo esta y otras reglas protegen tu organización en tiempo real.


Fuente: BleepingComputer – Malicious Edge extension abuses Native Messaging as bridge to malware