Edgecution: extensão falsa do Edge libera ransomware no PC

Uma nova campanha de malware descoberta pela Zscaler transforma uma extensão aparentemente inofensiva do Microsoft Edge em uma porta de entrada para ransomware. Chamada de Edgecution, a ameaça usa o protocolo Native Messaging do Chrome para escapar do sandbox do navegador e executar um backdoor em Python diretamente no sistema da vítima — tudo invisível ao usuário.

Como o ataque começa

O vetor inicial é engenharia social clássica com um toque corporativo. O atacante se passa por suporte de TI no Microsoft Teams e orienta o empregado a acessar uma página falsa que simula ser um console de atualizações do Outlook. A página exibe botões de download para supostos pacotes de atualização, mas o que o usuário instala é o Edgecution.

A Zscaler identificou que o grupo por trás dessa operação é um broker de acesso inicial vinculado ao ransomware Payouts Kings. Esse padrão de brokers vendendo acesso a grupos de ransomware já foi documentado em casos como o Mistic. O falso site oferece três métodos de infecção: um script AutoHotKey, um batch do Windows e um script PowerShell. Qualquer um deles resulta no mesmo desfecho — um navegador Edge sem interface gráfica (headless) carrega a extensão maliciosa em segundo plano, sem que o usuário perceba.

A engine do Edgecution

O malware funciona com dois componentes coordenados. O primeiro é a extensão do Edge, disfarçada como “Edge Monitoring Agent”. Ela se conecta a um servidor de comando e controle (C2) hospedado em subdomínios da Amazon CloudFront — o que faz o tráfego parecer atividade normal de nuvem para ferramentas de monitoramento.

O segundo componente é o backdoor em Python que executa no sistema operacional. A ponte entre os dois é o protocolo Native Messaging do Chrome, projetado originalmente para que extensões legítimas se comuniquem com aplicativos desktop — como gerenciadores de senhas preenchendo formulários automaticamente. O Edgecution subverte essa função para enviar comandos do C2 diretamente ao backdoor no sistema, ultrapassando o sandbox que deveria isolar a extensão do resto da máquina.

O que o backdoor pode fazer

Uma vez ativo, o backdoor em Python aceita comandos no formato JSON e executa tarefas no sistema hospedeiro:

  • Executar comandos shell e scripts PowerShell
  • Executar código Python arbitrário enviado pelo atacante
  • Escrever e modificar arquivos no disco
  • Listar processos em execução no sistema
  • Coletar informações detalhadas do ambiente

Para dificultar a detecção, o backdoor funciona de forma efêmera: processa cada comando, envia a resposta e encerra até o próximo. Esse padrão de vida curta confunde ferramentas de segurança que buscam processos suspeitos persistentes. A chave de descriptografia das strings do malware fica armazenada no registro do Windows, sem a qual o código permanece ilegível para análise estática.

O navegador como vetor de ataque

A abordagem do Edgecution reflete uma tendência que vem ganhando tração. Navegadores baseados em Chromium oferecem o protocolo Native Messaging como uma funcionalidade legítima, mas ele cria uma superfície de ataque que poucas equipes de segurança monitoram ativamente. A maioria das organizações foca em proteger o endpoint contra executáveis e scripts tradicionais, deixando a camada do navegador sem supervisão adequada.

Segundo a Zscaler ThreatLabz, o Edgecution “ilustra a sofisticação crescente” dos brokers de acesso inicial que operam no ecossistema de ransomware. O uso de CloudFront como infraestrutura de C2 e de um Edge headless como vetor de persistência torna a campanha difícil de detectar por assinaturas de rede convencionais.

Indicadores de comprometimento

A Zscaler divulgou indicadores que podem ajudar equipes de segurança a identificar a presença do Edgecution:

Tipo Indicador Descrição
URL wss://d3nh8sl98s2554.cloudfront[.]net/ws Servidor C2
URL wss://d2g6dl71gua1qa.cloudfront[.]net/ws Servidor C2
URL wss://d1jp293q9tvi92.cloudfront[.]net/ws Servidor C2
Hash a08d8e63…15f78568 Extensão (background.js)
Hash 3d115888…deee1a Backdoor em Python

Equipes de segurança devem bloquear esses domínios em proxies e firewalls, além de monitorar extensões instaladas nos navegadores corporativos.

Como se proteger

A defesa contra o Edgecution requer uma abordagem em camadas. A primeira linha é o treinamento de usuários: nenhum funcionário deve instalar software ou clicar em links de atualização recebidos pelo Teams sem verificação prévia com a equipe de TI real. Esse tipo de engenharia social — um falso suporte técnico pedindo para instalar algo — é cada vez mais comum em ataques contra corporações. O segundo pilar é a supervisão técnica — monitorar quais extensões estão carregadas no Edge em cada estação de trabalho e impor políticas que restrinjam a instalação de complementos não autorizados.

Além disso, é fundamental auditar a configuração de Native Messaging nas máquinas corporativas. A Zscaler recomenda restringir quais hosts nativos podem se registrar no navegador e bloquear execuções headless do Edge que não sejam originadas de processos legítimos. Ferramentas EDR devem ser configuradas para alertar sobre novas chaves de registro no caminho usado pelo malware para armazenar sua chave de descriptografia.

No contexto brasileiro, onde o Microsoft Edge ganhou adoção significativa em ambientes corporativos após a integração com o Copilot, o risco é concreto. Empresas que distribuem Edge via políticas de grupo precisam revisar imediatamente se o Native Messaging está habilitado para usuários comuns e se há supervisão sobre extensões instaladas. O ataque demonstra que a superfície de ameaça estendeu-se do sistema operacional para dentro do navegador — e as defesas tradicionais de endpoint não estão preparadas para essa mudança de paradigma.

Referências