// PUNTO INFORMATICO — CYBERSECURITY
Edgecution: falsa estensione di Edge per attacchi ransomware
I ricercatori di Zscaler hanno descritto una campagna ransomware, effettuata dal gruppo Payouts King (attivo da aprile 2025), che sfrutta un’estensione fasulla di Microsoft Edge, denominata Edgecution, per aggirare le protezioni del browser, accedere al sistema operativo e installare una backdoor. Ovviamente gli utenti devono prestare attenzione alle modalità usate per distribuire le estensioni.
La prima fase dell’attacco viene effettuata da un IAB (Initial Access Broker), ovvero cybercriminali che successivamente vendono l’accesso ai “colleghi” del gruppo Payouts King. Sfruttando la tecnica dell’ingegneria sociale cercano di ingannare i destinatari, in questo caso dipendenti di aziende. Viene inviato un messaggio tramite Microsoft Teams che sembra arrivare dal supporto IT.
Le ignare vittime devono aggiornare i filtri anti-spam di Outlook cliccando sui pulsanti indicati. In realtà vengono scaricati uno script AutoHotKey, uno script Windows batch e uno script PowerShell che distribuiscono Edgecution. Altri due pulsanti copiano gli script Windows batch e PowerShell negli appunti (clipboard), mentre il terzo chiede la password dell’account Microsoft 365.
Gli script creano un’attività pianificata per eseguire Microsoft Edge e scaricano una backdoor Python che consente l’accesso remoto al computer (persistenza). Il browser non è visibile (viene eseguito in background), quindi l’utente non si accorge del caricamento della falsa estensione. Sfruttando il protocollo Chrome Native Messaging, Edgecution invoca la backdoor aggirando la sandbox di Edge.
La backdoor può così accedere al sistema operativo, raccogliere informazioni, scrivere file, eseguire codice arbitrario e ricevere comandi dal server C2 (command and control). I cybercriminali possono quindi installare altri malware che, nel caso del gruppo Payouts King, sono ransomware.