Payouts King関連のEdgecutionを確認、Microsoft Edge拡張機能を悪用

Payouts King関連のEdgecutionを確認、Microsoft Edge拡張機能を悪用

Zscaler ThreatLabzは、Payouts Kingランサムウェアに関連する活動において、新たなマルウェア「Edgecution」を確認したと報告した。調査によると、このマルウェアはMicrosoft Edgeの拡張機能を利用する手法を採用している。

分析では、EdgecutionがChrome Native Messagingプロトコルを利用し、ブラウザ拡張機能とホストシステム間で通信を行う仕組みを備えていたことが確認されている。研究者らは、この機能を利用してブラウザ環境外のプロセスと連携する構成を報告している。

また、今回の活動は初期アクセスブローカーと関連している可能性が指摘されている。調査では、Edge拡張機能を利用したアクセス手法や、ホストシステムとの通信経路が分析対象となった。

研究者によると、EdgecutionはMicrosoft Edge拡張機能とChrome Native Messagingを組み合わせた実装を特徴としており、Payouts King関連の活動で確認された事例として報告されている。

ブラウザ拡張機能を利用した攻撃手法

攻撃者はソーシャルエンジニアリングを利用し、Microsoft Teamsのメッセージを通じてユーザーを偽のMicrosoft関連サイトへ誘導していた。調査によると、ユーザーはそこでEdgecutionのインストールにつながるスクリプトをダウンロードするよう誘導されていた。

分析では、インストール後のEdgecutionがMicrosoft Edgeの拡張機能として動作し、バックグラウンドでC2サーバーと通信を行う仕組みを備えていたことが確認されている。また、拡張機能を介して受信したコマンドを実行する機能も報告されている。

研究者らによると、Edgecutionは難読化されたAutoHotKeyスクリプト、Windowsバッチファイル、PowerShellスクリプトなど複数のコンポーネントを利用して展開される。さらに、最終段階ではPythonベースのバックドアが実行される構成が確認された。

また、ブラウザ拡張機能とPythonバックドア間の通信にはChrome Native Messagingプロトコルが利用されていた。この仕組みにより、ブラウザ外のプロセスとの連携やファイルシステムへのアクセスが行われていたと分析されている。

調査では、C2インフラの一部がAmazon Web Services（AWS）のcloudfront.netサブドメイン上で運用されていたことも確認された。さらに、ブラウザ拡張機能はバックグラウンドで動作する構成となっており、今回の事例はブラウザ拡張機能、スクリプト実行環境、Native Messaging機能を組み合わせたマルウェア運用事例として報告されている。