Een persoon werkt achter een laptop in een donkere kamer
Nieuws25 juni · 04:515 min leestijd

Kwaadaardige Edge-extensie 'Edgecution' breekt via een nep-IT-melding door tot ransomware

Onderzoekers vonden een aanval waarbij een kwaadaardige Edge-extensie via een legitieme browserfunctie ontsnapt en een backdoor met systeemrechten plaatst. Het begint met iemand die zich op Teams voordoet als jouw IT-afdeling.

Een aanval die begint met een vriendelijk Teams-bericht van 'de IT-afdeling' en eindigt met ransomware: onderzoekers van Zscaler ThreatLabz beschrijven een campagne waarbij een kwaadaardige Microsoft Edge-extensie, Edgecution genaamd, wordt gebruikt om uit de beveiligde omgeving van de browser te ontsnappen en een Python-backdoor met volledige systeemrechten te plaatsen. De campagne wordt toegeschreven aan een initial access broker met banden met de Payouts King-ransomware, de partij die de toegang verkoopt of zelf de gijzelsoftware uitrolt.

Het venijn zit niet in een geniale technische exploit, maar in de combinatie van social engineering en een legitieme browserfunctie die wordt misbruikt. Daardoor glipt de aanval langs verdedigingen die je normaal zou vertrouwen.

Zo verloopt de aanval

De aanvallers doen zich op Microsoft Teams voor als IT-support en sturen het slachtoffer naar een neppagina met de naam 'Outlook Updates Management Console'. Die pagina biedt een update of een verificatietool aan die in werkelijkheid kwaadaardige scripts plaatst, in de vorm van AutoHotkey, een batch-bestand of PowerShell. Die scripts starten stilletjes een verborgen Edge-venster. Vervolgens wordt een ZIP-archief met opzettelijk beschadigde headers uitgepakt, met daarin een complete Python 3.13.3-omgeving, en zet een geplande taak de boel vast op het systeem.

Hier komt de kern. De extensie, vermomd als 'Edge Monitoring Agent', misbruikt Chrome Native Messaging om uit de browser-sandbox te breken en commando's door te geven aan de Python-backdoor. Die backdoor kan shell-commando's en PowerShell draaien, willekeurige Python-code uitvoeren, bestanden wegschrijven en processen uitlezen. Hij leest een commando in JSON-vorm, voert het uit, antwoordt en sluit zichzelf meteen weer af, een kortstondig patroon dat bedoeld is om detectie op draaiende processen te ontwijken. De decryptiesleutels staan in het Windows-register en het verkeer naar de aanstuurserver loopt via Amazon CloudFront-subdomeinen, zodat het op gewoon cloudverkeer lijkt.

Waarom Native Messaging de zwakke plek is

Native Messaging is geen lek, maar een normale, nuttige functie: ermee kan een browserextensie praten met een programma op je computer, bijvoorbeeld je wachtwoordmanager. Precies die brug wordt hier misbruikt. Een extensie hoort opgesloten te zitten in de browser, maar via de native-messaging-host krijgt deze een lijn naar code die wel met systeemrechten draait. En laat het beheer van browserextensies nu net iets zijn waar de meeste organisaties geen grip op hebben: medewerkers installeren wat ze willen, en niemand kijkt naar wat die extensies achter de schermen mogen.

Wat dit voor jouw bedrijf betekent

Twee concrete dingen om nu te regelen. Ten eerste je browserbeleid: bepaal welke extensies medewerkers mogen installeren, het liefst via een goedgekeurde lijst, en houd registraties van native-messaging-hosts in de gaten. Een onbeheerde browser is inmiddels een volwaardig aanvalsoppervlak, geen onschuldig hulpmiddel.

Ten tweede, en belangrijker, het beginpunt: een nep-IT-melding. De hele keten valt om als die eerste stap niet lukt. Spreek daarom een vast, herkenbaar kanaal af waarlangs jouw IT contact opneemt, en train je mensen dat 'IT' dat vraagt iets te downloaden of een code te plakken altijd een rode vlag is. Dat is geen technische kwestie maar een procesafspraak, en juist daar zit de winst: phishing is geen technisch maar een procesprobleem, en je verdediging begint bij je proces. Het patroon is bovendien niet nieuw: eerder gebruikte een WhatsApp-campagne met nep-bedrijfsdocumenten dezelfde truc om pc's volledig over te nemen. Wie zijn medewerkers leert twijfelen op het juiste moment, sluit de deur nog voordat de eerste regel code draait.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Een werkplek waar nep-IT geen vat heeft

De zwakste schakel is bijna nooit de techniek, maar het moment waarop iemand 'IT' vertrouwt. Ik denk met je mee over hoe je processen en systemen zo inricht dat zulke aanvallen nergens landen, van duidelijke meldroutes tot beheerde, geautomatiseerde werkplekken, end-to-end en self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Je hebt opgeschreven wat je AI-agent mag. Alleen weet niemand wie hij is.
Inzicht
7 min

9 jul 13:03

Je hebt opgeschreven wat je AI-agent mag. Alleen weet niemand wie hij is.

AI-agenten krijgen nu een eigen digitale identiteit, van Okta en de Linux Foundation tot Estland. Wie zijn agent op geleende inloggegevens laat draaien, verliest het zicht op wie er namens hem handelt.

Je cryptografie post-quantum-proof maken: van inventaris tot migratie in golven
Gids
9 min

25 jun 09:00

Je cryptografie post-quantum-proof maken: van inventaris tot migratie in golven

Een praktisch stappenplan om je organisatie quantumveilig te maken: inventariseer waar encryptie zit, prioriteer op risico, kies de NIST-standaarden en rol hybride uit in golven.

Cloudflare en de grote browsers lanceren PACT: het einde van de captcha
Nieuws
5 min

23 jun 12:16

Cloudflare en de grote browsers lanceren PACT: het einde van de captcha

Cloudflare, Chrome, Firefox, Edge en Shopify werken samen aan PACT, een cryptografisch protocol dat captcha's vervangt zonder bezoekers te volgen. Voor elke webshop met een inlog of formulier verandert dat de afweging tussen botbescherming en gebruiksgemak.

OpenAI breidt Daybreak uit: AI die kwetsbaarheden vindt, valideert en patcht
Nieuws
5 min

22 jun 20:11

OpenAI breidt Daybreak uit: AI die kwetsbaarheden vindt, valideert en patcht

OpenAI rolt nieuwe Daybreak-tools uit: Codex Security en GPT-5.5-Cyber scannen code op lekken en schrijven direct patches. Plus een open-source-initiatief en een partnerprogramma met grote securitybedrijven.

Mastra-framework vergiftigd: ruim 140 npm-pakketten voor AI-agenten besmet met credential-steler
Nieuws
5 min

18 jun 18:34

Mastra-framework vergiftigd: ruim 140 npm-pakketten voor AI-agenten besmet met credential-steler

Aanvallers kaapten een vergeten beheerdersaccount en injecteerden in ruim honderdveertig pakketten van het populaire AI-framework Mastra een wachtwoordsteler. Wie npm install draaide, liep risico, ook zonder de code te gebruiken.

'Friendly Fire' laat Claude Code en Codex kwaadaardige code draaien bij een beveiligingsreview
Nieuws
4

10 jul 14:35

'Friendly Fire' laat Claude Code en Codex kwaadaardige code draaien bij een beveiligingsreview

Het AI Now Institute toont met 'Friendly Fire' hoe Claude Code en Codex tijdens een beveiligingsreview via een gemanipuleerde README zelf een kwaadaardig programma op de host uitvoeren, zonder om toestemming te vragen.