Edgecution: Malware tarnt sich als Edge-Erweiterung für Ransomware
26.06.2026 - 15:53:39 | boerse-global.de
Sicherheitsforscher haben eine neue Bedrohung identifiziert, die Browser-Sicherheitsmechanismen auf besonders perfide Weise umgeht. Die als Edgecution getaufte Malware tarnt sich als legitime Microsoft-Edge-Erweiterung – und entpuppt sich als Einfallstor für Ransomware-Angriffe auf Unternehmensnetzwerke.
Sandbox-Ausbruch durch Native Messaging
Die von Zscaler ThreatLabz dokumentierte Schadsoftware nutzt eine Schwachstelle im Zusammenspiel zwischen Browser und Betriebssystem. Edgecution missbraucht die sogenannte Chrome Native Messaging-Funktion, die eigentlich für die Kommunikation zwischen Browser-Erweiterungen und installierten Programmen gedacht ist.
Das Tückische: Die Erweiterung durchbricht die Sicherheitssandbox des Browsers und installiert eine Python-basierte Hintertür direkt auf dem Zielrechner. Von dort aus verschaffen sich die Angreifer einen dauerhaften Zugang, um letztlich Ransomware auszurollen.
Der Köder: Falscher IT-Support auf Microsoft Teams
Die Infektionskette beginnt mit einem altbekannten Trick in neuem Gewand. Angreifer geben sich als IT-Support-Mitarbeiter aus und kontaktieren ihre Opfer über Microsoft Teams. In scheinbar hilfsbereiten Gesprächen locken sie die Angestellten auf gefälschte Webseiten – oft getarnt als Outlook-Update-Portal oder Spamfilter-Aktualisierung.
Wer die vermeintlich notwendige „Sicherheitsaktualisierung" installiert, fügt in Wirklichkeit die bösartige Edge-Erweiterung hinzu. Die Masche setzt gezielt auf das Vertrauen, das Mitarbeiter internen Kommunikationsplattformen und vermeintlichen Kollegen entgegenbringen.
Die Edgecution-Malware zeigt, wie Angreifer über gefälschte Edge-Erweiterungen die Browser-Sandbox umgehen und Ransomware einschleusen. Dieser Report liefert IT-Sicherheitsverantwortlichen eine sofort umsetzbare Checkliste zur Verwaltung von Browser-Erweiterungen, einen Schulungsleitfaden gegen Social Engineering auf Teams sowie eine Tool-Übersicht zur Sandbox-Ausbruch-Prävention. Jetzt kostenlosen Sicherheits-Report anfordern
Zugangsvermittler als neues Geschäftsmodell
Hinter Edgecution steckt offenbar ein sogenannter Initial Access Broker (IAB), der mit der Ransomware-Gruppe Payouts King zusammenarbeitet. Diese spezialisierten Akteure brechen in Unternehmensnetzwerke ein und verkaufen den Zugang dann an Erpresserbanden weiter.
Die Analysten von Gartner hatten bereits prognostiziert, dass bis 2026 rund 75 Prozent aller Ransomware-Vorfälle über vermittelte Zugänge erfolgen werden. Edgecution untermauert diesen Trend eindrucksvoll.
Parallelentwicklung: Mistic-Backdoor im Umlauf
Die Warnung vor Edgecution reiht sich ein in eine Serie ähnlicher Vorfälle. Seit April 2026 ist eine weitere Schadsoftware namens Mistic (auch MLTBackdoor) aktiv, die gezielt Versicherungen, Bildungseinrichtungen und Dienstleistungsunternehmen angreift.
Initial Access Broker verkaufen Zugänge zu Ihrem Netzwerk – Edgecution ist der neueste Einfallstor. Bevor Ihre Systeme kompromittiert werden: Der Report zeigt, wie Sie Erweiterungsrechte kontrollieren, verdächtige Teams-Anrufe erkennen und Sandbox-Ausbrüche verhindern. Sicherheits-Report jetzt sichern
Mistic arbeitet dateilos direkt im Arbeitsspeicher und verfügt über einen Selbstzerstörungsmechanismus, der herkömmliche Dateiscanner austrickst. Die Hintertür wird dem Access Broker KongTuke (alias Woodgnat) zugeschrieben.
Erst Anfang Juni hatte zudem die Hackergruppe ShinyHunters einen Angriff auf die Madison Square Garden Company bekannt gegeben. Nach dem ersten Eindringen am 12. Juni veröffentlichten die Täter rund 26 Millionen Datensätze – ein weiteres Zeichen für die aktuell hohe Aktivität von Erpressern und ihren Zuträgern.
