Een aanval die begint met een vriendelijk Teams-bericht van 'de IT-afdeling' en eindigt met ransomware: onderzoekers van Zscaler ThreatLabz beschrijven een campagne waarbij een kwaadaardige Microsoft Edge-extensie, Edgecution genaamd, wordt gebruikt om uit de beveiligde omgeving van de browser te ontsnappen en een Python-backdoor met volledige systeemrechten te plaatsen. De campagne wordt toegeschreven aan een initial access broker met banden met de Payouts King-ransomware, de partij die de toegang verkoopt of zelf de gijzelsoftware uitrolt.
Het venijn zit niet in een geniale technische exploit, maar in de combinatie van social engineering en een legitieme browserfunctie die wordt misbruikt. Daardoor glipt de aanval langs verdedigingen die je normaal zou vertrouwen.
Zo verloopt de aanval
De aanvallers doen zich op Microsoft Teams voor als IT-support en sturen het slachtoffer naar een neppagina met de naam 'Outlook Updates Management Console'. Die pagina biedt een update of een verificatietool aan die in werkelijkheid kwaadaardige scripts plaatst, in de vorm van AutoHotkey, een batch-bestand of PowerShell. Die scripts starten stilletjes een verborgen Edge-venster. Vervolgens wordt een ZIP-archief met opzettelijk beschadigde headers uitgepakt, met daarin een complete Python 3.13.3-omgeving, en zet een geplande taak de boel vast op het systeem.
Hier komt de kern. De extensie, vermomd als 'Edge Monitoring Agent', misbruikt Chrome Native Messaging om uit de browser-sandbox te breken en commando's door te geven aan de Python-backdoor. Die backdoor kan shell-commando's en PowerShell draaien, willekeurige Python-code uitvoeren, bestanden wegschrijven en processen uitlezen. Hij leest een commando in JSON-vorm, voert het uit, antwoordt en sluit zichzelf meteen weer af, een kortstondig patroon dat bedoeld is om detectie op draaiende processen te ontwijken. De decryptiesleutels staan in het Windows-register en het verkeer naar de aanstuurserver loopt via Amazon CloudFront-subdomeinen, zodat het op gewoon cloudverkeer lijkt.
Waarom Native Messaging de zwakke plek is
Native Messaging is geen lek, maar een normale, nuttige functie: ermee kan een browserextensie praten met een programma op je computer, bijvoorbeeld je wachtwoordmanager. Precies die brug wordt hier misbruikt. Een extensie hoort opgesloten te zitten in de browser, maar via de native-messaging-host krijgt deze een lijn naar code die wel met systeemrechten draait. En laat het beheer van browserextensies nu net iets zijn waar de meeste organisaties geen grip op hebben: medewerkers installeren wat ze willen, en niemand kijkt naar wat die extensies achter de schermen mogen.
Wat dit voor jouw bedrijf betekent
Twee concrete dingen om nu te regelen. Ten eerste je browserbeleid: bepaal welke extensies medewerkers mogen installeren, het liefst via een goedgekeurde lijst, en houd registraties van native-messaging-hosts in de gaten. Een onbeheerde browser is inmiddels een volwaardig aanvalsoppervlak, geen onschuldig hulpmiddel.
Ten tweede, en belangrijker, het beginpunt: een nep-IT-melding. De hele keten valt om als die eerste stap niet lukt. Spreek daarom een vast, herkenbaar kanaal af waarlangs jouw IT contact opneemt, en train je mensen dat 'IT' dat vraagt iets te downloaden of een code te plakken altijd een rode vlag is. Dat is geen technische kwestie maar een procesafspraak, en juist daar zit de winst: phishing is geen technisch maar een procesprobleem, en je verdediging begint bij je proces. Het patroon is bovendien niet nieuw: eerder gebruikte een WhatsApp-campagne met nep-bedrijfsdocumenten dezelfde truc om pc's volledig over te nemen. Wie zijn medewerkers leert twijfelen op het juiste moment, sluit de deur nog voordat de eerste regel code draait.
Veelgestelde vragen
Een werkplek waar nep-IT geen vat heeft
De zwakste schakel is bijna nooit de techniek, maar het moment waarop iemand 'IT' vertrouwt. Ik denk met je mee over hoe je processen en systemen zo inricht dat zulke aanvallen nergens landen, van duidelijke meldroutes tot beheerde, geautomatiseerde werkplekken, end-to-end en self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
