Edgecution 

Editors' Pick

A Zscaler ThreatLabz egy új, Edgecution malware-keretrendszert azonosított, amelyet a Payouts King ransomware-hez köthető Initial Access Broker (IAB) használ vállalati hálózatok kezdeti kompromittálására. A támadási lánc jellemzően spam bombinggal, majd Microsoft Teams-en keresztüli vishinggel indul, ahol a támadók informatikai támogatónak adják ki magukat. Az áldozatot egy hamis Microsoft-frissítési oldalra irányítják, ahonnan egy legitim AutoHotKey futtatható állomány és egy titkosított ZIP csomag töltődik le. A fertőzés kulcseleme egy rosszindulatú Microsoft Edge böngészőbővítmény, amely a Chrome Native Messaging protokollt kihasználva képes kilépni a böngésző sandboxából, és egy Python-alapú háttérkomponenssel kommunikálva teljes hozzáférést szerez a rendszerhez. A bővítmény egy headless Edge példányban fut, így a felhasználó számára láthatatlan marad. 

A Python-alapú backdoor rendszerinformációk gyűjtésére, fájlműveletek végrehajtására, PowerShell-parancsok futtatására és tetszőleges kód végrehajtására alkalmas. A konfigurációs adatok és a titkosítási kulcsok a Windows Registryben tárolódnak, ami megnehezíti a statikus elemzést és a kártevő újrafelhasználását laboratóriumi környezetben. A Zscaler szerint az alkalmazott TTP-k szoros hasonlóságot mutatnak a korábbi Black Basta műveletekkel, ami megerősíti, hogy a Payouts King ökoszisztémájában továbbra is aktívak a specializált hozzáférés-közvetítők. Az elemzés részletes technikai bontást, IOC-kat, hálózati detektálási mintákat és YARA-szabályokat is tartalmaz.

FORRÁS