ارتباط با گروه‌های باج‌افزاری

پژوهشگران Zscaler معتقدند عامل انتشار Edgecution یک Initial Access Broker (IAB) یا واسطه دسترسی اولیه است که با عملیات باج‌افزاری Payouts Kings ارتباط دارد.

واسطه‌های دسترسی اولیه معمولاً مستقیماً عملیات رمزگذاری فایل‌ها را انجام نمی‌دهند، بلکه وظیفه آن‌ها نفوذ اولیه به شبکه سازمان‌ها و فروش این دسترسی به گروه‌های باج‌افزاری است.

به همین دلیل، آلودگی به Edgecution می‌تواند مرحله نخست یک حمله بزرگ‌تر باشد که در ادامه به استقرار باج‌افزار و رمزگذاری اطلاعات سازمان منجر می‌شود.

فرآیند نصب بدافزار

بر اساس تحلیل فنی منتشرشده، مهاجمان برای نصب Edgecution از سه روش مختلف استفاده می‌کنند:

• اسکریپت AutoHotKey
• فایل Batch ویندوز
• اسکریپت PowerShell

پس از اجرای این ابزارها، محیط لازم برای نصب بدافزار آماده می‌شود. سپس یک فایل ZIP با هدرهای دستکاری‌شده دانلود می‌شود؛ روشی که باعث می‌شود برخی محصولات امنیتی نتوانند فایل را به‌عنوان یک آرشیو معتبر شناسایی کنند.

در نهایت:

• فایل‌ها استخراج می‌شوند.
• یک وظیفه زمان‌بندی‌شده (Scheduled Task) در ویندوز ایجاد می‌شود.
• مرورگر Microsoft Edge به‌صورت خودکار اجرا می‌شود.
• افزونه مخرب بدون اطلاع کاربر فعال می‌شود.

اجزای بدافزار چگونه عمل می‌کنند؟

تحلیل Zscaler نشان می‌دهد فایل ZIP دانلودشده شامل نسخه داخلی Python 3.13.3 و دو پوشه با نام‌های extension و native است.

افزونه مخرب مرورگر

بخش نخست، افزونه‌ای برای Microsoft Edge است که خود را به‌عنوان یک ابزار نظارتی معرفی می‌کند.

این افزونه:

• به سرور فرماندهی و کنترل (C2) متصل می‌شود.
• دستورات مهاجم را دریافت می‌کند.
• نتایج اجرای فرمان‌ها را برای مهاجم ارسال می‌کند.

برای جلوگیری از جلب توجه کاربر، افزونه در نسخه Headless مرورگر Edge اجرا می‌شود و هیچ پنجره یا رابط کاربری قابل مشاهده‌ای ایجاد نمی‌کند.

درِ پشتی مبتنی بر Python

بخش دوم، یک Backdoor مبتنی بر Python است که دستورات دریافتی از افزونه را در سطح سیستم‌عامل اجرا می‌کند.

این مؤلفه قادر است:

• دستورات Command Prompt را اجرا کند.
• اسکریپت‌های PowerShell را اجرا کند.
• کدهای دلخواه Python را اجرا کند.
• فایل ایجاد، حذف یا ویرایش کند.
• فهرست پردازش‌های فعال سیستم را جمع‌آوری کند.
• اطلاعات سخت‌افزاری و نرم‌افزاری سیستم را استخراج کند.

در عمل، این Backdoor کنترل تقریباً کاملی بر رایانه قربانی در اختیار مهاجم قرار می‌دهد.

ایجاد ماندگاری در سیستم

برای حفظ دسترسی، بدافزار فایل‌های موردنیاز Native Messaging را ایجاد کرده و فایل Manifest مربوطه را در سیستم ثبت می‌کند تا مرورگر بتواند بدون هشدار امنیتی با برنامه محلی ارتباط برقرار کند.

همچنین ایجاد Scheduled Task باعث می‌شود پس از هر بار راه‌اندازی ویندوز، افزونه و درِ پشتی دوباره فعال شوند و مهاجم دسترسی خود را از دست ندهد.

قابلیت‌های احتمالی آینده

محققان Zscaler اعلام کرده‌اند هر دو مؤلفه Edgecution دارای تعدادی دستور غیرفعال هستند که هنوز مورد استفاده قرار نگرفته‌اند.

این موضوع نشان می‌دهد توسعه‌دهندگان بدافزار احتمالاً قصد دارند در نسخه‌های آینده قابلیت‌هایی مانند سرقت اطلاعات بیشتر، اجرای ماژول‌های اضافی یا گسترش حمله در شبکه‌های سازمانی را به آن اضافه کنند.

توصیه‌های امنیتی

کارشناسان امنیت برای کاهش خطر این حملات توصیه می‌کنند:

• نصب افزونه‌های مرورگر تنها از منابع معتبر انجام شود.
• قابلیت Native Messaging Host فقط برای نرم‌افزارهای مورد اعتماد فعال باشد.
• دسترسی کاربران عادی به نصب افزونه‌ها محدود شود.
• اجرای PowerShell و اسکریپت‌های ناشناس کنترل شود.
• ارتباطات Microsoft Teams با دقت بیشتری بررسی شود.
• کارکنان نسبت به حملات مهندسی اجتماعی آموزش ببینند.
• راهکارهای EDR و XDR برای شناسایی رفتارهای غیرعادی فعال باشند.

جمع‌بندی تحلیلی

Edgecution نشان‌دهنده نسل جدیدی از بدافزارهاست که به‌جای سوءاستفاده از آسیب‌پذیری‌های مرورگر، از قابلیت‌های قانونی آن برای نفوذ استفاده می‌کنند. ترکیب مهندسی اجتماعی، سوءاستفاده از Native Messaging، اجرای افزونه در حالت Headless و استفاده از یک Backdoor مبتنی بر Python، این بدافزار را به ابزاری قدرتمند برای گروه‌های باج‌افزاری تبدیل کرده است. این حمله بار دیگر نشان می‌دهد امنیت مرورگرها تنها به جلوگیری از نصب افزونه‌های مخرب محدود نمی‌شود و کنترل دقیق قابلیت‌های ارتباطی بین مرورگر و سیستم‌عامل نیز اهمیت ویژه‌ای دارد.