Ausbruch aus der Browser-Sandbox

Manipulierte Edge-Erweiterung schleust Ransomware ein

Microsoft Edge
Bildquelle: cfalvarez /Shutterstock.com
LinkedInRedditWhatsApp

Eine manipulierte Microsoft-Edge-Erweiterung namens Edgecution umgeht die Browser-Sandbox und installiert eine Python-Hintertür für Ransomware-Angriffe.

Sicherheitsforscher des Cloud-Sicherheitsunternehmens Zscaler haben eine Schadsoftware-Kampagne identifiziert, die eine manipulierte Microsoft-Edge-Erweiterung namens Edgecution nutzt. Der Angriff beginnt mit Social Engineering, bei dem sich die Akteure auf Microsoft Teams als IT-Support-Mitarbeiter ausgeben. Angestellte werden auf eine gefälschte Website geleitet, die als Verwaltungskonsole für Outlook-Updates getarnt ist. Dort angebotene Schaltflächen starten Skripte oder kopieren Befehle in die Zwischenablage. Zscaler erklärte hierzu:

Anzeige

„Diese Schaltflächen bieten dem Bedrohungsakteur drei verschiedene Optionen (über ein AutoHotKey-Skript, ein Windows-Batch-Skript und ein PowerShell-Skript), um die Edgecution-Schadsoftware bereitzustellen.“

Zscaler

Anzeige

Über diese Skripte wird ein präpariertes ZIP-Archiv geladen, dessen Header manipuliert sind, um Sicherheitssoftware zu umgehen. Das Archiv enthält eine eingebettete Python-Version 3.13.3 sowie die Komponenten für die Erweiterung und die lokale Ausführung.

Technische Brücke über Native Messaging

Die Schadsoftware wird in einem unsichtbaren, kopflosen Edge-Browser ausgeführt. Die bösartige Erweiterung selbst ist zunächst in der Sandbox des Browsers isoliert. Um diese Beschränkung zu umgehen, nutzt die Erweiterung das Native-Messaging-Protokoll von Chrome, welches eigentlich für die Kommunikation zwischen Browser-Add-ons und lokalen Desktop-Anwendungen wie Passwortmanagern gedacht ist. Über diese Schnittstelle startet und steuert die Erweiterung eine Python-basierte Hintertür auf Betriebssystemebene.

Diese Hintertür dient als lokaler Befehlsempfänger und ermöglicht folgende Aktionen auf dem infizierten Host:

  • Ausführen von Shell-Befehlen und PowerShell-Skripten
  • Ausführen von beliebigem Python-Code
  • Schreiben von Dateien auf das Dateisystem
  • Auflisten aktiver Systemprozesse
  • Sammeln von Systeminformationen

Die lokalen Skripte erstellen hierfür die notwendigen Manifest-Dateien, damit der Browser die Verbindung zur nativen Anwendung herstellen kann.

Verbindung der Edge-Sicherheitslücke zur Ransomware-Szene

Nach Einschätzung von Zscaler wird die Infrastruktur von einem Initial Access Broker betrieben, der Verbindungen zur Payouts-Kings-Ransomware-Gruppe aufweist. Die Methode dient dazu, dauerhaften Zugriff auf Unternehmensnetzwerke zu erlangen, um anschließende Verschlüsselungsangriffe vorzubereiten. Die Analysten empfehlen eine strengere Überwachung von Browser-Erweiterungen und eine Reglementierung der erlaubten Native-Messaging-Konfigurationen auf Endgeräten.

(red)


Anzeige
Microsoft Edge
25. Juni 2026
Manipulierte Edge-Erweiterung schleust Ransomware ein
OpenAI
25. Juni 2026
OpenAI enthüllt maßgeschneiderten Prozessor Jalapeno
Check Point Security
25. Juni 2026
Check Point setzt auf OpenAI-Technologie Frontier
Github
25. Juni 2026
Ein Gratis-Account reicht: „Cordyceps“ gefährdet über 300 GitHub-Repositories

Weitere Artikel

Krypto-Clipper tarnt sich auf Software-Plattformen
Neue ClickFix-Kampagne infiziert macOS-Geräte von Apple
Deutschland zählt zu den Hauptzielen: Ransomware-Angriffe nehmen deutlich zu
Neue Top-10-Rangliste enttarnt globale Hacker-Netzwerke
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.