Extensão maliciosa do Microsoft Edge abusa de protocolo de mensagens nativas para instalar malware

A extensão maliciosa Edgecution não é um bug do Microsoft Edge, mas uma exploração deliberada de uma funcionalidade legítima: o protocolo Chrome Native Messaging. Esse protocolo permite que extensões se comuniquem com aplicações nativas fora da sandbox, como gerenciadores de senhas ou ferramentas de produtividade. O Edgecution usa exatamente isso para sair do ambiente isolado do navegador e executar um backdoor em Python 3.13.3 diretamente no sistema. O arquivo ZIP malicioso, com cabeçalhos intencionalmente corrompidos, evita detecção por scanners baseados em assinatura e contém três vetores de execução (AutoHotKey, batch e PowerShell), todos configurando uma tarefa agendada que inicia o Edge em modo headless.

O backdoor Python não é apenas um payload estático: ele recebe comandos em tempo real da extensão via mensagens nativas e pode executar código arbitrário, gravar arquivos, listar processos e coletar dados sensíveis. Isso transforma o ataque em uma operação persistente, não em um simples download acidental. A ligação com o IAB associado à operação Payouts Kings reforça o padrão de uso de acessos iniciais vendidos para ransomware, aqui, a entrega do Edgecution serve como porta de entrada para infiltração profunda, não como objetivo final.

Esse caso importa porque mostra como funcionalidades de segurança projetadas para facilitar integrações legítimas viram armas de ataque quando mal configuradas ou mal monitoradas. O Native Messaging não é uma vulnerabilidade a ser corrigida com um patch, mas um vetor de exploração que depende de políticas organizacionais fracas, como permissão irrestrita de extensões ou hosts nativos não auditados. Diferente de exploits de memória ou falhas zero-day, o Edgecution funciona em ambientes totalmente atualizados e com antivírus ativos, desde que os controles de extensão e mensagens nativas estejam desativados ou mal definidos.

Além disso, a campanha demonstra uma mudança tática clara entre IABs: em vez de depender de anexos de e-mail ou links encurtados, agora usam canais confiáveis como o Microsoft Teams e imitam interfaces internas de TI (como o falso Outlook Updates Management Console). Isso reduz drasticamente a taxa de suspeita do usuário, e aumenta a eficácia mesmo contra equipes treinadas em phishing tradicional.

Para desenvolvedores e equipes de segurança interna, o Edgecution impõe revisão imediata nas políticas de extensões do Edge e na configuração dos hosts de Native Messaging. Não basta bloquear extensões não assinadas: é preciso auditar quais hosts nativos estão registrados no sistema (em %LOCALAPPDATA%\Microsoft\Edge\User Data\NativeMessagingHosts) e garantir que só aplicativos de confiança tenham permissão. Scripts de implantação devem validar hashes de extensões antes de instalar, especialmente aquelas com permissões amplas como 'nativeMessaging' ou 'storage'.

Time de DevSecOps deve incluir verificações de mensagens nativas em pipelines de CI/CD de aplicações desktop que se integram com navegadores. Também vale testar se seus próprios aplicativos nativos aceitam mensagens de extensões não autorizadas, um ponto fraco comum em implementações caseiras do protocolo. A Zscaler listou IoCs públicos, mas a defesa efetiva começa com controle de superfície de ataque, não com resposta pós-comprometimento.