Extensión maliciosa de Edge usa Native Messaging para soltar ransomware
Resumen rápido
Una extensión fraudulenta para Microsoft Edge, bautizada 'Edgecution', ha sido empleada en un ataque de ransomware para saltar el sandbox del navegador. El vector de escape se apoya en la API de Native Messaging, que permite a extensiones comunicarse con procesos locales fuera del entorno aislado del browser. A través de este canal, los atacantes desplegaron una puerta trasera desarrollada en Python.
Una extensión de Edge convierte el navegador en puerta de entrada para ransomware
Los atacantes siguen explorando vectores menos vigilados para comprometer sistemas corporativos. El último ejemplo documentado implica una extensión maliciosa para Microsoft Edge denominada 'Edgecution', que fue utilizada como pieza clave en una cadena de ataque que culminó con el despliegue de ransomware.
El truco: Native Messaging como puente hacia el sistema operativo
Los navegadores modernos ejecutan las extensiones dentro de un sandbox diseñado para impedir que el código de la extensión interactúe directamente con el sistema operativo. Sin embargo, la API de Native Messaging existe precisamente para cuando esa comunicación es legítima y necesaria: permite que una extensión envíe y reciba mensajes de una aplicación de escritorio instalada en la máquina, siempre que ambas estén registradas con las claves adecuadas en el sistema.
En este ataque, los actores de amenaza aprovecharon ese mecanismo para que la extensión 'Edgecution' actuara como intermediario: una vez instalada en el navegador de la víctima, establece un canal de comunicación con un proceso local malicioso fuera del sandbox. Ese proceso local es una puerta trasera escrita en Python que sirve de cabeza de playa para las fases posteriores del ataque.
De backdoor a cifrado de datos
Una vez que el backdoor Python está operativo en el host, los atacantes disponen de ejecución remota de comandos en el entorno de la víctima. A partir de ahí, la cadena de infección progresa hasta el despliegue del payload de ransomware, que procede a cifrar ficheros en el sistema comprometido siguiendo el patrón clásico de extorsión por datos.
Este caso ilustra un riesgo frecuentemente subestimado: las extensiones de navegador son software de terceros que se ejecuta con sesión de usuario, tienen acceso a todo lo que ocurre en el navegador y, si combinan Native Messaging con un host local malicioso, consiguen sortear el aislamiento del sandbox sin necesidad de explotar ninguna vulnerabilidad de día cero en el navegador.
Recomendaciones prácticas
- Auditar las extensiones instaladas en los navegadores corporativos y aplicar políticas de allow-list mediante GPO o Microsoft Intune.
- Controlar los hosts de Native Messaging registrados en el sistema; entradas sospechosas en
HKCU\Software\Google\Chrome\NativeMessagingHostso su equivalente para Edge son una señal de alerta temprana. - Restringir la ejecución de intérpretes como Python en endpoints donde no sea estrictamente necesario (application control / WDAC).
- Monitorizar actividad de cifrado masivo de ficheros mediante reglas de detección de comportamiento en el endpoint.
¿Estás cubierto en DefensOps?
DefensOps detecta la fase de cifrado de datos característica de los ataques de ransomware mediante la técnica MITRE ATT&CK T1486 – Data Encrypted for Impact, cubierta por la regla 111030 disponible en el plan Professional.
Si un payload de ransomware intenta cifrar ficheros en tu entorno tras haber escalado desde una extensión de navegador, DefensOps correlacionará la actividad y generará una alerta antes de que el daño se extienda.
👉 Consulta nuestros planes y solicita una demo en la página de precios de DefensOps para ver cómo esta y otras reglas protegen tu organización en tiempo real.
Fuente: BleepingComputer – Malicious Edge extension abuses Native Messaging as bridge to malware
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Professional.
Técnicas MITRE ATT&CK: T1486
- Cifrado de datos por ransomware · T1486 · regla 111030 · plan Professional
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.