สรุปสั้น

นักวิจัยจากบริษัท Zscaler เปิดเผยส่วนขยาย (extension) ของ Microsoft Edge ที่เป็นอันตรายชื่อ Edgecution ซึ่งถูกนำมาใช้ในการโจมตี ransomware เพื่อหลบหนีออกจากแซนด์บ็อกซ์ของเบราว์เซอร์และวาง backdoor ที่เขียนด้วยภาษา Python ลงบนเครื่องเหยื่อ การเข้าถึงระบบทำได้โดยอาศัยโปรโตคอล Chrome Native Messaging ซึ่งปกติอนุญาตให้ส่วนขยายของเบราว์เซอร์สื่อสารกับแอปพลิเคชันบนเดสก์ท็อปได้ เช่น โปรแกรมจัดการรหัสผ่านที่ติดต่อกับส่วนขยายเพื่อกรอกฟอร์มบนเว็บ กลไกนี้ทำให้เบราว์เซอร์เปิดแอปบนเครื่องเป็นโปรเซสแยกและสื่อสารผ่าน standard input/output ผู้โจมตีจึงใช้ช่องทางที่ถูกต้องตามการออกแบบนี้เป็นสะพานข้ามขีดจำกัดของแซนด์บ็อกซ์

การโจมตีด้วย Edgecution เริ่มจากผู้โจมตีปลอมตัวเป็นเจ้าหน้าที่ IT support บน Microsoft Teams แล้วชี้นำพนักงานไปยังหน้าเว็บปลอมโดยอ้างว่าให้ติดตั้งอัปเดตตัวกรองสแปม นักวิจัยของ Zscaler เชื่อว่า Edgecution ถูกปล่อยโดย initial access broker (IAB) ที่เชื่อมโยงกับปฏิบัติการ ransomware ชื่อ Payouts Kings ในการโจมตีล่าสุดที่ใช้ยุทธวิธีซึ่งเคยเชื่อมโยงกับ IAB รายนี้ ผู้โจมตีนำเหยื่อไปยังหน้าปลอม “Outlook Updates Management Console” ที่มีปุ่มดาวน์โหลดชุดอัปเดตหรือการยืนยันซอฟต์แวร์ แต่ปุ่มเหล่านั้นกลับดาวน์โหลดส่วนประกอบอันตราย คัดลอกสคริปต์ไปยังคลิปบอร์ด หรือเปิดฟอร์มขอรหัสผ่าน Microsoft 365 และ Outlook โดยเสนอทางเลือกสามแบบในการปล่อยมัลแวร์ ผ่าน AutoHotKey script, Windows batch script และ PowerShell script

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 24 มิถุนายน พ.ศ. 2569 ว่าบริษัท Zscaler ตรวจพบส่วนขยาย Microsoft Edge อันตรายชื่อ Edgecution ที่ถูกใช้ในการโจมตี ransomware เพื่อหลุดออกจากแซนด์บ็อกซ์ของเบราว์เซอร์และวาง Python backdoor เป็นตัวปฏิบัติการระดับโฮสต์ เมื่อ AutoHotKey script หรือเนื้อหาในคลิปบอร์ดถูกรัน คำสั่งจะตั้งค่าสภาพแวดล้อม แก้ไขส่วนหัวของไฟล์ ZIP ที่ถูกเข้ารหัส แตกไฟล์ที่เกี่ยวข้อง และสร้าง scheduled task ที่เรียกใช้ Microsoft Edge

ส่วนประกอบของมัลแวร์ถูกดึงมาจากเว็บอัปเดต Microsoft ปลอมในรูปแบบไฟล์ ZIP ที่มีส่วนหัว (header) ผิดรูปแบบเพื่อป้องกันไม่ให้ผลิตภัณฑ์ความปลอดภัยจดจำว่าเป็นไฟล์ ZIP ที่ถูกต้อง ภายในไฟล์ ZIP บรรจุ Python เวอร์ชัน 3.13.3 ฝังมาด้วย พร้อมไดเรกทอรีสองชุดชื่อ extension และ native ซึ่งบ่งบอกถึงเทคนิคที่ใช้ในการโจมตี ส่วนประกอบแรกคือส่วนขยาย Edge อันตรายที่ปลอมตัวเป็น Edge Monitoring Agent มันเชื่อมต่อไปยังปลายทาง command-and-control (C2) ของผู้โจมตี รับคำสั่งให้ดำเนินการ และส่งผลลัพธ์กลับไปยังผู้ควบคุม โดย Edgecution รันในเบราว์เซอร์ Edge แบบ headless ทำให้ผู้ใช้มองไม่เห็น

Malicious Microsoft Edge extension Edgecution abusing Native Messaging

แม้ส่วนขยายจะถูกจำกัดอยู่ในแซนด์บ็อกซ์ของเบราว์เซอร์ แต่ผู้โจมตีก้าวข้ามข้อจำกัดนี้ด้วยส่วนประกอบที่สองคือ backdoor ที่เขียนด้วย Python ซึ่งทำหน้าที่เป็นตัวปฏิบัติการระดับโฮสต์ ส่วนนี้รับคำสั่งที่ถูกส่งต่อมาจากส่วนขยายอันตราย และสามารถร้องขอให้ทำงานต่าง ๆ ได้

วิธีการโจมตี

Python backdoor ของ Edgecution รองรับคำสั่งหลายอย่าง ได้แก่ การรันคำสั่ง shell, การรัน PowerShell, การรันโค้ด Python ตามอำเภอใจ, การเขียนไฟล์ลงบนโฮสต์, การไล่รายชื่อโปรเซสที่กำลังทำงาน และการเก็บข้อมูลระบบ บทบาทของสคริปต์ทั้งสามแบบคือเปิดทางให้ส่วนขยายสามารถเรียกใช้ Python backdoor ได้ โดยสร้างไฟล์ batch ในไดเรกทอรี native ที่ส่วนขยายสามารถเรียกใช้ พร้อมสร้าง Chrome native messaging manifest ที่อธิบายวิธีให้เบราว์เซอร์เชื่อมต่อกับแอปบนเครื่อง

การวิเคราะห์เชิงเทคนิคของ Zscaler ระบุว่าส่วนประกอบมัลแวร์ทั้งสองยังมีคำสั่งบางส่วนที่ยังไม่ถูกใช้งาน ซึ่งอาจถูกเปิดใช้ในเวอร์ชันถัดไป นักวิจัยเตือนว่าวิธีที่ Edgecution ใช้ “สะท้อนถึงวิวัฒนาการความซับซ้อน” ของผู้โจมตีที่เชื่อมโยงกับปฏิบัติการ ransomware และทำให้พวกเขาสร้างการฝังตัว (persistence) บนเครื่องที่ถูกเจาะได้

ผลกระทบต่อไทย

เทคนิคของ Edgecution เป็นภัยต่อองค์กรไทยโดยตรง เพราะ Microsoft Edge เป็นเบราว์เซอร์ที่ติดมากับ Windows และถูกใช้แพร่หลายในองค์กร อีกทั้งการโจมตียังเริ่มจากการปลอมเป็นทีม IT support บน Microsoft Teams ซึ่งเป็นช่องทางที่พนักงานไทยคุ้นเคยและไว้ใจ การใช้ Native Messaging ที่เป็นกลไกถูกต้องตามการออกแบบของเบราว์เซอร์ ทำให้การโจมตีหลบเลี่ยงการตรวจจับได้ดี และเมื่อ Python backdoor ทำงานในระดับโฮสต์แล้ว ผู้โจมตีก็สามารถรันคำสั่ง ขโมยข้อมูล และฝังตัวเพื่อต่อยอดสู่การโจมตี ransomware ได้ องค์กรไทยที่ไม่ได้ควบคุมการติดตั้งส่วนขยายเบราว์เซอร์และไม่ได้จำกัด native messaging host จึงมีความเสี่ยงสูง

คำแนะนำ

ผู้ดูแลระบบควรเสริมการเฝ้าระวังส่วนขยายเบราว์เซอร์ และบังคับใช้การควบคุมที่เข้มงวดต่อการตั้งค่า native messaging host เพื่อลดความเสี่ยงจากการถูกเจาะ ควรใช้นโยบายกลุ่ม (group policy) จำกัดให้ติดตั้งได้เฉพาะส่วนขยายที่อยู่ใน allowlist เท่านั้น ตรวจสอบการสร้าง scheduled task ที่เรียก Edge แบบ headless ผิดปกติ เฝ้าระวังไฟล์ ZIP ที่มีส่วนหัวผิดรูปแบบและ Python runtime ที่ถูกฝังมา ให้ความรู้พนักงานว่าทีม IT จะไม่ติดต่อผ่าน Microsoft Teams เพื่อให้ติดตั้ง “อัปเดตตัวกรองสแปม” หรือกรอกรหัสผ่าน Microsoft 365 บนหน้าเว็บที่ไม่คุ้นเคย และนำ IoC ที่ Zscaler เผยแพร่ (เซิร์ฟเวอร์ C2 และค่าแฮชของส่วนขยายอันตราย) มาใช้ในการตรวจจับและ hunting

แหล่งอ้างอิง