Una extensión maliciosa de Edge se convierte en puerta de entrada a ransomware en miles de PC
Una extensión maliciosa de Edge pone en riesgo miles de equipos al facilitar la instalación de ransomware.
Una campaña de ciberataques ha puesto en el punto de mira a Microsoft Edge tras descubrirse el uso de una extensión maliciosa bautizada como Edgecution, capaz de romper las barreras de seguridad del navegador y actuar como puente hacia la ejecución de malware en el sistema operativo. El ataque culmina con la instalación de un backdoor basado en Python que permite el control remoto del equipo infectado.
Según investigadores de la firma de seguridad Zscaler, los atacantes combinan ingeniería social y abuso de funciones legítimas del navegador para comprometer a sus víctimas. El acceso inicial se consigue suplantando a personal de soporte técnico en Microsoft Teams, donde los empleados son dirigidos a una falsa página que simula una consola de actualizaciones de Outlook o un filtro de spam corporativo.
En esa página fraudulenta, los botones de descarga activan distintos mecanismos de infección que preparan el sistema para ejecutar la carga maliciosa. Entre las acciones más críticas se encuentra la manipulación de archivos ZIP con cabeceras alteradas para evitar su detección por herramientas de seguridad.
El paquete descargado incluye una versión embebida de Python y dos componentes principales: una extensión de Edge camuflada como agente de monitorización y un ejecutor a nivel de sistema. La extensión funciona dentro del navegador, conectándose a un servidor de comando y control, mientras que el segundo componente actúa como puente hacia el sistema operativo.
El elemento clave del ataque es el abuso del protocolo Native Messaging de Chrome, que permite la comunicación entre extensiones y aplicaciones locales. Aunque esta función está diseñada para casos legítimos, como gestores de contraseñas, en este escenario se convierte en el canal que rompe el aislamiento del navegador.
A través de este mecanismo, la extensión puede ordenar al backdoor ejecutar comandos, scripts de PowerShell, código Python o tareas de reconocimiento del sistema.
Zscaler advierte de que esta técnica refleja un aumento en la sofisticación de los grupos vinculados al ransomware, que ahora combinan múltiples capas de ejecución para mantener persistencia en sistemas comprometidos.