Ekstensi Microsoft Edge Palsu Manfaatkan Protokol Native Messaging untuk Susupkan Ransomware

Sebuah kampanye serangan siber berbahaya yang menargetkan peramban Microsoft Edge berhasil diidentifikasi oleh para peneliti keamanan. Menggunakan ekstensi berbahaya bernama “Edgecution”, peretas memanfaatkan taktik cerdik untuk keluar dari batasan isolasi (sandbox) peramban guna menyebarkan pintu belakang (backdoor) berbasis bahasa pemrograman Python, yang menjadi jembatan menuju serangan ransomware.

Akses ke dalam sistem lokal perangkat korban diperoleh dengan mengeksploitasi protokol Chrome Native Messaging. Protokol ini sebenarnya merupakan fitur sah yang memungkinkan ekstensi peramban berinteraksi dengan aplikasi desktop lokal—seperti aplikasi pengelola kata sandi (password manager) yang berkomunikasi dengan ekstensinya di peramban untuk mengisi formulir login secara otomatis. Fitur ini memungkinkan peramban meluncurkan aplikasi lokal sebagai proses terpisah dan berkomunikasi melaluinya lewat aliran data input/output (I/O) standar.

Modus Operandi Berkedok Dukungan TI Palsu di Microsoft Teams

Berdasarkan analisis teknis dari perusahaan keamanan awan Zscaler, infeksi awal Edgecution dimulai dengan aksi rekayasa sosial (social engineering). Pelaku menyamar sebagai personel dukungan TI perusahaan melalui aplikasi pesan instan Microsoft Teams. Pelaku kemudian mengarahkan karyawan target ke sebuah halaman web palsu dengan dalih untuk memasang pembaruan filter pesan sampah (spam filter update).

Para peneliti meyakini bahwa Edgecution disebarkan oleh kelompok Initial Access Broker (IAB) yang memiliki keterkaitan erat dengan operasi ransomware global bernama Payouts Kings. Dalam melancarkan aksinya, peretas mengarahkan korban ke situs web tiruan yang menyerupai konsol manajemen resmi Microsoft bernama “Outlook Updates Management Console”.

Halaman palsu tersebut menampilkan beberapa tombol unduhan untuk paket pembaruan atau proses verifikasi perangkat lunak. Namun, ketika tombol-tombol tersebut diklik, sistem korban justru mengunduh komponen berbahaya, menyalin skrip otomatis ke papan klip (clipboard), atau memunculkan formulir palsu yang meminta input kata sandi layanan Microsoft 365 dan Outlook milik korban.

Modifikasi File ZIP dan Pemasangan Headless Browser

Pihak Zscaler menjelaskan bahwa tombol-tombol di situs palsu tersebut menyediakan tiga opsi skrip berbeda bagi peretas untuk menyebarkan malware Edgecution, yaitu melalui skrip AutoHotKey, skrip Windows batch (.bat), dan skrip PowerShell.

Ketika skrip AutoHotKey atau perintah dari clipboard dieksekusi oleh sistem korban, rangkaian perintah tersebut akan langsung mengonfigurasi lingkungan sistem, memperbaiki bagian tajuk (headers) file ZIP yang sengaja dirusak oleh peretas, mengekstrak file di dalamnya, dan membuat tugas terjadwal (scheduled task) di Windows untuk menjalankan Microsoft Edge. Strategi merusak header file ZIP ini sengaja dilakukan peretas sebagai teknik mengelabui produk antivirus agar tidak mengenali file tersebut sebagai arsip kompresi yang valid.

Setelah diekstrak, file ZIP tersebut diketahui berisi aplikasi Python versi 3.13.3 tersemat (embedded) serta dua buah direktori penting bernama extension dan native. Dua folder ini menjadi indikasi kuat dari teknik manipulasi arsitektur peramban yang diterapkan dalam serangan.

Komponen malware pertama adalah ekstensi Microsoft Edge berbahaya yang menyamar dengan nama “Edge Monitoring Agent”. Ekstensi ini bertugas menghubungkan perangkat korban ke server command-and-control (C2) milik peretas untuk menerima instruksi eksekusi dan mengirimkan kembali data hasil jarahan kepada operator. Malware Edgecution ini berjalan di dalam mode headless Edge peramban, menjadikannya beroperasi sepenuhnya di latar belakang tanpa memunculkan jendela aplikasi apa pun sehingga tidak disadari oleh pengguna.

Keluar dari Sandbox Melalui Skrip Python Host-Level

Secara standar keamanan, ekstensi peramban terkunci rapat di dalam lingkungan isolasi (sandbox) peramban dan tidak memiliki izin untuk memodifikasi sistem operasi komputer secara langsung. Namun, peretas berhasil mengatasi batasan keamanan ketat ini melalui komponen malware kedua yang berada di dalam folder native, yaitu sebuah backdoor berbasis Python yang bertindak sebagai eksekutor di tingkat host (sistem operasi).

Komponen backdoor lokal ini bertugas menerima dan mengeksekusi instruksi lanjutan yang diteruskan dari ekstensi peramban berbahaya sebelumnya. Beberapa perintah berbahaya yang dapat dijalankan oleh backdoor Python ini meliputi:

• Mengeksekusi perintah shell tingkat rendah.
• Menjalankan perintah otomatisasi melalui PowerShell.
• Menjalankan kode Python arbitrer secara acak.
• Menulis dan membuat file baru langsung di dalam penyimpanan komputer host.
• Memindai dan mendata seluruh proses aplikasi yang sedang berjalan (running processes).
• Mengumpulkan informasi spesifikasi sistem perangkat korban secara mendalam.

Peran dari skrip batch awal yang ditanamkan di direktori native adalah untuk menyediakan jalur akses agar ekstensi peramban dapat memicu peluncuran backdoor Python tersebut. Skrip tersebut juga secara otomatis membuat file manifes (native messaging manifest) yang diperlukan oleh Chrome atau Edge agar peramban mengenali dan mengizinkan koneksi ke aplikasi lokal terkait.

Zscaler mencatat bahwa kedua komponen malware ini memiliki beberapa baris perintah pasif yang belum digunakan, yang diprediksi sengaja disiapkan untuk diaktifkan pada varian malware versi masa depan. Metode penyusupan yang diterapkan oleh Edgecution ini memperlihatkan evolusi kecanggihan taktik dari para aktor ransomware untuk membangun pertahanan persisten (persistence) yang sulit dideteksi di dalam komputer korban.

Guna meminimalisir risiko ancaman ini, perusahaan sangat direkomendasikan untuk memperketat pengawasan terhadap instalasi ekstensi peramban di lingkungan kerja, serta menerapkan kebijakan kontrol yang ketat terhadap konfigurasi host native messaging pada seluruh perangkat inventaris kantor.

Sumber: Zscaler Technical Threat Report